Quando le aziende leggono il decreto legislativo e le specifiche tecniche delle misure di base NIS2, spesso le interpretano come una lista di adempimenti tecnici: installare determinati strumenti, configurare funzionalità, eseguire backup con una certa frequenza.
Ma secondo Milena Rizzi (Prefetto capo servizio autorità e sanzioni, ACN), intervenuta al convegno co-organizzato con Clusit il 3 dicembre 2025, chi guarda alle misure di base come a un elenco tecnico fraintende il punto principale. Le misure di base non son infattio un inventario di tecnologie, bensì un framework di governance, fondato sull’idea che senza strutture organizzative solide le misure tecniche restano fragili.
Indice degli argomenti
Dalla direttiva europea alle specifiche italiane: una traduzione consapevole
La direttiva NIS2 dell’Unione Europea fornisce principi e obiettivi, ma non stabilisce il dettaglio operativo.
Ogni Stato membro è chiamato a tradurre questi principi in requisiti concreti. L’Italia, tra i primi Paesi insieme al Belgio, ha affidato ad ACN la definizione delle specifiche tecniche.
Questo lavoro non è stato un semplice esercizio di trasposizione. Come racconta Rizzi, «abbiamo lavorato molto per identificare e affrontare fin da subito le potenziali criticità».
Per facilitare la comprensione delle specifiche, ACN ha pubblicato una collana di linee guida, inaugurata a settembre 2025 con la guida alla lettura delle specifiche tecniche di base. La scelta risponde a una necessità precisa: con oltre 20.000 soggetti NIS2 appartenenti a settori diversi, un linguaggio comune diventa indispensabile.
La confusione sulla “burocrazia” nelle specifiche
Durante il 2025, molte organizzazioni hanno giudicato le specifiche tecniche troppo “burocratiche” o poco orientate alla sostanza. In particolare, requisiti di struttura come la definizione formale di ruoli, procedure e training sono stati spesso percepiti come meri elementi di forma.
Tuttavia Milena Rizzi respinge questa lettura. Dietro ogni disposizione, spiega, c’è un obiettivo operativo:
- senza ruoli chiari non è possibile allocare responsabilità;
- senza procedure documentate non è possibile verificare la conformità;
- senza verifica, gli obblighi restano inefficaci.
Chi considera questi elementi burocrazia fraintende la logica della NIS2, che parte dal presupposto che la sicurezza sia prima un processo organizzativo e poi tecnologico.
Il ruolo del linguaggio comune
Uno dei motivi per cui ACN ha investito nelle linee guida è la necessità di definire terminologie condivise. Come spiega Rizzi, «se non utilizziamo tutti lo stesso linguaggio diventa difficile comprenderci e spiegare cosa ACN si aspetta quando usa una determinata terminologia».
In assenza di definizioni comuni, ogni organizzazione rischia interpretazioni divergenti. Per esempio, il “training di sicurezza” può tradursi in programmi strutturati per una grande impresa o in un breve briefing per una PMI. Allo stesso modo, il concetto di “governance” può essere inteso come un comitato formale o come un processo snello.
Per ridurre questa eterogeneità, ACN ha definito terminologie precise. Un esempio significativo è la definizione di “incidente significativo”, articolata in quattro fattispecie chiare: non lasciata alla discrezionalità dell’organizzazione, ma utilizzata anche come riferimento nelle ispezioni.
Governance come fondamento della sicurezza
La principale lezione veicolata dalle specifiche tecniche è che la governance rappresenta il fondamento della sicurezza, non un livello opzionale. Rizzi lo riassume così: «Nell’evoluzione del NIST 2.0 è stata introdotta la funzione di governance: senza governance, non è possibile essere efficaci nell’implementazione».
Questa impostazione converge con quella del NIST Cybersecurity Framework 2.0, che ha affiancato la governance alle funzioni classiche di protezione, rilevazione, risposta e recupero.
In termini concreti, le misure di base partono da ruoli chiari, procedure scritte, responsabilità definite e meccanismi di escalation. Solo successivamente entrano in gioco le misure tecniche.
Come le specifiche traducono la governance
Le appendici delle specifiche tecniche contengono pianificazioni che devono essere approvate dal consiglio di amministrazione. Secondo Luca Bechelli (Comitato Scientifico di Clusit), questa apparente semplicità è il risultato di un lavoro complesso: «Ogni passaggio, per quanto sintetico, deriva da un’elaborazione approfondita. Nulla è lasciato al caso».
Quando le specifiche richiedono di definire ruoli e procedure, non si tratta di un adempimento formale, ma di una scelta organizzativa che implica coerenza interna, comunicazione, aggiornamento e verifica periodica.
Il timing dell’implementazione e le risorse necessarie
ACN sottolinea che una governance efficace richiede tempo e risorse adeguate. Come afferma Rizzi, «nessuno ha la bacchetta magica: serve tempo realistico per realizzare requisiti che vogliamo davvero efficaci».
Le misure tecniche dovranno essere implementate entro ottobre 2026. Questo implica un percorso che parte da gennaio 2026, con una pianificazione distribuita e progressiva. Una governance costruita in fretta, nelle ultime settimane, resta “di carta”; quella costruita gradualmente diventa effettiva.
Le specifiche come specchio della realtà organizzativa
Le specifiche tecniche non sono un’imposizione astratta: riflettono la realtà della gestione della sicurezza nelle organizzazioni. Il linguaggio può apparire formale, ma è il risultato di anni di esperienza operativa. ACN ha scelto consapevolmente questo approccio, perché solo una governance solida consente un’implementazione tecnica realmente efficace.
