meme della settimana

Una poltrona per (la NIS) 2

La NIS 2 rappresenta una spinta del mercato per porre la governance della sicurezza cyber al centro dei servizi digitali, motivo per cui è necessario prenderla in considerazione oltre che come obbligo normativo cogente anche come insieme di best practicescui fare riferimento

Pubblicato il 24 dic 2025

Redazione Cybersecurity360.it

meme4cyber360_nis2 — Credits to: Stefano Gazzella – https://www.linkedin.com/in/stefano-gazzella/

Il quadro normativo europeo in ambito cyber è complesso, ma persegue in modo coerente l’obiettivo di aumentare il livello generale di sicurezza.

Il motivo? It’s the market, baby: un mercato digitale europeo che non è in grado di presentarsi come sicuro e affidabile non è appetibile per gli operatori e brillerà per esternalità negative.

Basti pensare alla particolare attenzione che è stata posta alla gestione della supply chaine ai percorsi di implementazione della NIS 2 e parenti prossimi, come DORA.

Il fatto è che la NIS 2 è diventata un’occasione emergente per parlare (in modo più o meno sensato, ammettiamolo) di sicurezza cyber. Sia per necessità di dover rispettare una normativa cogente che per adeguarsi e rimanere sul mercato.

Anche perché molti soggetti che non sono destinatari della norma, soprattutto nell’ambito dei servizi ICT, potrebbero trovarsi coinvolti all’interno di una filiera e dunque si troveranno a subire audit di seconda o terza parte o una ricontrattualizzazione dei rapporti con particolare enfasi destinata agli obblighi di gestione della sicurezza.

Quando la complessità è norma, la convergenza è necessaria.

In ragione della complessità regolatoria, ragionare come silos o isole senza tenere conto dell’ecosistema in cui si è inseriti è il presupposto per un fallimento epico.

Ecco dunque che, ad esempio, nella gestione delle filiere i servizi rilevanti devono essere identificati e classificati per capacità di impatto all’interno del multiverso di evenienze della sicurezza cyber.

Basti pensare alle interazioni fra DORA e Data Act per quanto riguarda la contrattualizzazione della catena dei fornitori, o altrimenti alle norme di governance del rischio cyber di terze parti per comprendere la necessità di una governance convergente.

Anche fra più sistemi, o nell’inquadrare correttamente funzioni quali DPO e CISO nelle matrici RACI.

Anche perché il tutto si riverbera sul piano operativo, come quello della notifica degli incidenti che coinvolgono i fornitori al CSIRT Italia, in cui lo stress test e il rischio di fallimento delle procedure (e dei processi) è di chiara evidenza.

Praticamente, nei tavoli di lavoro che coinvolgono questi servizi è inevitabile che si debba riservare un posto – anzi, una poltrona – per la NIS 2 e i suoi principi.

E che questa non sia meramente decorativa.

@RIPRODUZIONE RISERVATA