La direttiva europea NIS2 sta ridisegnando in profondità il modo in cui le imprese italiane — soprattutto le piccole e medie — devono affrontare la sicurezza digitale. Durante la tavola rotonda del Rapporto Clusit 2025, Andrea Monteleone, presidente di ANIE Sicurezza, ha illustrato le principali difficoltà che la direttiva sta generando nella filiera industriale, sottolineando come l’impatto non sia solo normativo, ma anche culturale e organizzativo.
Indice degli argomenti
Un cambiamento che spiazza le imprese
Secondo Monteleone, la prima reazione delle aziende italiane all’arrivo della NIS2 è stata di disorientamento: «La prima reazione è stata quella del “Adesso cosa facciamo?”». Una risposta che riassume lo smarrimento di un tessuto produttivo composto in larga parte da PMI, spesso prive delle risorse necessarie per affrontare un cambiamento che richiede nuove logiche decisionali, tecniche e gestionali.
La NIS2, infatti, non introduce solo nuovi obblighi: ridefinisce il ruolo dei diversi attori della filiera, ampliando in modo significativo la platea dei soggetti coinvolti.
Una direttiva che investe l’intera filiera industriale
Monteleone evidenzia che la NIS2 ha «destabilizzato il mercato a tutti i livelli», perché la sua portata è «molto più ampia rispetto alla NIS1». La normativa non riguarda più soltanto gli operatori essenziali: include fornitori, subfornitori, partner tecnologici e tutte le realtà che, a vario titolo, abilitano servizi o infrastrutture critiche.
L’impatto si sviluppa su due piani distinti. Da un lato quello organizzativo, con molti produttori che, essendo fornitori critici, diventano essi stessi soggetti obbligati. Dall’altro quello tecnico, che impone un ripensamento delle modalità con cui la tecnologia viene progettata, sviluppata, distribuita e mantenuta nel tempo.
Monteleone ricorda che «siamo la filiera che abilita l’utilizzo della tecnologia, perché la disegniamo, la sviluppiamo, la distribuiamo». Una dichiarazione che chiarisce come la responsabilità non sia più confinata al cliente finale, ma distribuita lungo l’intero ciclo di vita del prodotto.
La consapevolezza come anello debole
Uno dei punti più critici emersi dal confronto riguarda la scarsa consapevolezza, sia tra i fornitori sia tra gli utenti finali. La NIS2 richiede standard stringenti, ma molte imprese faticano a comprenderne pienamente il perimetro. «La mancanza di informazione non riguarda solo i fornitori, ma anche i clienti di ultima istanza», osserva Monteleone.
La direttiva, però, non può essere trattata come un insieme di adempimenti formali. Senza una cultura condivisa della cyber sicurezza, il rischio è che l’adeguamento rimanga superficiale, incapace di produrre miglioramenti reali.
La formazione diventa quindi centrale: servono competenze interne, figure di raccordo tra area tecnica e direzione, e soprattutto un linguaggio comune per interpretare obblighi e rischi.
PMI e risorse limitate: la sfida della sostenibilità
Il peso della NIS2 si fa sentire soprattutto sulle PMI italiane. Molte di esse affrontano gap analysis che mettono in evidenza difficoltà significative legate a budget, personale e capacità organizzativa. Lo sforzo richiesto è «non da poco, umano e tecnologico», sottolinea Monteleone.
La questione non è marginale: le PMI costituiscono la base operativa della supply chain dei grandi player industriali. Se un subfornitore è vulnerabile, l’intera catena produttiva può essere compromessa. La NIS2, proprio per questo, estende la responsabilità lungo tutta la filiera, ricordando che la sicurezza non è più solo un tema di grandi aziende o infrastrutture critiche.
Cultura, persone, cooperazione: la sicurezza oltre la tecnologia
Il messaggio trasversale agli interventi di ANIE, ACN e Clusit è chiaro: la sicurezza non può essere ridotta a una questione di strumenti tecnologici. «Non bastano firewall o sistemi di monitoraggio avanzati se manca la capacità di comprendere e governare i processi», ricorda Monteleone.
La NIS2 introduce infatti una logica di corresponsabilità, che richiede collaborazione tra imprese, integrazione tra pubblico e privato e condivisione delle informazioni su incidenti, vulnerabilità e pratiche di gestione del rischio.
Un ruolo chiave lo giocano le associazioni di categoria, come ANIE, che possono diventare un punto di riferimento per l’interpretazione della normativa e la definizione di soluzioni operative sostenibili.
L’evoluzione del fornitore: da produttore a partner di sicurezza
La direttiva comporta anche una trasformazione del modo in cui le imprese devono concepire la fornitura tecnologica. Il fornitore non è più un semplice produttore: diventa un partner di sicurezza.
Monteleone sottolinea che il nuovo modello richiede trasparenza dei processi, tracciabilità delle componenti, gestione sicura dei dati e capacità di progettare prodotti con requisiti di cyber resilience integrati fin dall’inizio. È un cambio di paradigma che ridefinisce l’intero ecosistema industriale, rendendo ogni attore corresponsabile della robustezza dell’intera filiera.
Guardando avanti: una trasformazione strutturale
Il percorso di adeguamento alla NIS2 è tutt’altro che completato, ma un elemento è evidente: non si tratta di una semplice compliance normativa. La direttiva rappresenta una trasformazione strutturale che ridefinisce il modo di fare impresa in Europa.
Secondo Monteleone, la sicurezza dovrà diventare parte integrante dell’identità produttiva delle aziende, un elemento del loro DNA e non un obbligo accessorio. È un passaggio culturale impegnativo, ma inevitabile, perché la NIS2 non introduce solo standard: introduce una nuova grammatica della fiducia digitale.
