PEC
WEBMAIL
Accedi alla tua Webmail Gestione password

NIS2, CAMBIA LA GESTIONE DEL RISCHIO INFORMATICO

NIS2, CAMBIA LA GESTIONE DEL RISCHIO INFORMATICO

Un breve approfondimento dei punti cruciali della normativa con Danilo D’Elia, CEO Node - Digital Innovation Hub di Confcooperative.

Primo piano
giovedì 30 ottobre 2025

In un periodo storico in cui il tema della sicurezza dei sistemi, delle reti e dei servizi è un argomento cruciale in tutti gli ambiti della vita professionale e privata, la Direttiva NIS2 (Direttiva (UE) 2022/2555) rappresenta un'evoluzione cruciale nella strategia europea di cybersecurity, con l'obiettivo primario di innalzare i livelli di resilienza e capacità di risposta agli incidenti informatici in tutti gli Stati membri.

Vengono stabiliti requisiti di sicurezza più rigorosi e sanzioni per le entità che operano in settori ad “alta criticità” e in altri settori “critici”. La Direttiva definisce queste entità come "soggetti essenziali" e "soggetti importanti". Viene inoltre introdotta una fondamentale espansione del perimetro normativo, ponendo enfasi sulla sicurezza della catena di approvvigionamento (supply chain).

 

La Direttiva NIS2 atterra dunque sulle nostre cooperative che sono chiamate ad identificarsi attraverso il settore e servizio che erogano (se rientrante fra quelli indicati dalla direttiva e dal decreto di recepimento dlgs 138/2024). Qualora una organizzazione dovesse rientrare in uno dei settori “critici” o “ad alta criticità”, viene identificata come soggetto NIS2 secondo size cap, così come da tabella ACN: le Medie e Grandi Imprese che operano nei settori elencati nella sintesi dell’Agenzia per la Cybersicurezza Nazionale rientrano nel perimetro. Le Micro e Piccole Imprese sono escluse di norma, ma rientrano solo se ricadono in specifici casi come eccezioni al size-cap (fornitore unico di un servizio essenziale in uno Stato membro; alcuni tipi di Fornitori di Servizi Digitali; Entità identificate come soggetti essenziali o importanti attraverso una valutazione del rischio a livello nazionale da parte dello Stato membro). Nel caso l’impresa fosse all’interno della supply chain di un’entità del perimetro NIS2, ciò non implica l’obbligo di adeguamento alla direttiva, ma potrebbe essere richiesto l’adeguamento di alcuni requisiti di sicurezza, qualora questi ultimi fossero identificati come critici per l’erogazione del servizio all’interno del perimetro NIS2 da parte del partner soggetto.

 

Ad un anno dal recepimento in Italia della Direttiva Europea, abbiamo fatto il punto con Danilo D’Elia, CEO di Node, società di sistema nei servizi digitali e Digital Innovation Hub di Confcooperative, di quelli che sono gli adempimenti, le responsabilità e i soggetti coinvolti.

 

Come Node avete promosso e condotto diversi incontri formativi sui principali obblighi previsti dalla Normativa e la timeline di adempimento; un percorso a tappe che ha seguito gli aggiornamenti normativi. Per ultimo il webinar “Ad un Anno dall'Adozione della NIS2, Soluzioni operative e roadmap di implementazione”. Proviamo a parlare dei punti cruciali della direttiva e in pratica quali step operativi bisogna eseguire.

 

“La Direttiva identifica dei passi obbligatori da seguire, che possiamo riassumere come di seguito, e su cui, insieme alla rete dei servizi di Confcooperative diffusa sul territorio, stiamo supportando le nostre associate:

 

  • Assesment e Gap Analysis – Consiste nella valutazione iniziale della postura di sicurezza dell’organizzazione per individuare le lacune rispetto ai requisiti della Direttiva NIS2 e definire le priorità di intervento.
  • Governance e gestione del rischio – Prevede l’implementazione di un modello di governance chiaro e strutturato che assicuri la responsabilità del top management e un approccio sistematico alla gestione dei rischi legati alla sicurezza delle reti e dei sistemi informativi.
  • Misure tecniche e organizzative – Include l’adozione di controlli di sicurezza adeguati (tecnologici, procedurali e gestionali) per garantire la resilienza dei sistemi e la protezione dei dati in linea con gli standard previsti dalla Direttiva.
  • Gestione degli incidenti e notifica – Definisce processi strutturati per il rilevamento, la gestione e la segnalazione tempestiva degli incidenti di sicurezza alle autorità competenti, riducendo l’impatto operativo e reputazionale.
  • Formazione e consapevolezza – Mira a sviluppare una cultura della sicurezza all’interno dell’organizzazione attraverso programmi di sensibilizzazione e formazione continua per tutto il personale.
  • Continuità Operativa – Garantisce la capacità dell’organizzazione di mantenere o ripristinare rapidamente le funzioni essenziali in caso di incidente o crisi, attraverso piani di continuità e disaster recovery testati periodicamente.
  • Audit interni e miglioramento continuo – Comprende la verifica periodica della conformità alle misure NIS2 e l’adozione di azioni correttive e di miglioramento continuo per assicurare un livello di sicurezza sempre aggiornato ed efficace.

Il tutto verificando anche la catena di approvvigionamento e gli eventuali suoi punti di criticità.

In capo agli organi direttivi sono state poste responsabilità e obblighi ben definiti che possiamo riassumere in punti tematici tra loro trasversali:

  • Supervisione e Governance del Rischio: devono adottare misure appropriate per identificare e mitigare i rischi per la sicurezza delle reti e dei sistemi informativi dell’organizzazione.
  •  Assicurazione di Conformità: devono garantire che l’organizzazione segua le normative e i requisiti NIS2 attraverso il monitoraggio continuo delle azioni implementate.
  •  Responsabilità diretta degli Amministratori: introduce sanzioni pecuniarie e potenziali misure dirette per gli amministratori che non rispettano le misure previste.
  •  Reporting e Trasparenza: devono assicurare che le violazioni siano prontamente notificate alle autorità competenti e che esistano sistemi di reporting interno per una gestione tempestiva degli incidenti.
  •  Consapevolezza e Formazione: sono responsabili della promozione di una cultura aziendale orientata alla sicurezza, che include la formazione del personale sui rischi di cybersecurity e sulle best practice.
  •  Investimenti e Allocazione delle Risorse: devono pianificare e allocare risorse adeguate a garantire l'implementazione efficace delle misure di sicurezza, garantendo così la resilienza delle infrastrutture e dei servizi critici”.

 

L'obbligo di notifica degli incidenti al portale CSIRT Italia (gestito da ACN) è un punto cruciale e complesso della NIS2, con scadenze molto rigide. Intanto una pre-notifica entro 24 ore e una notifica dettagliata entro 72 ore. Quali sono le informazioni minime richieste per la pre-notifica entro 24 ore, in modo che le aziende possano rispettare questo termine brevissimo, anche prima di avere un quadro completo dell'incidente?

 

“L'obiettivo della pre-notifica di 24 ore è lanciare un "allarme rapido". L'entità deve comunicare all'Autorità (ACN) le informazioni essenziali per consentire una risposta coordinata, anche se incompleta. Le informazioni minime essenziali sono:

 

  1. Quando è accaduto l'incidente (data e ora approssimative della rilevazione).
  2. Una prima indicazione sulla natura dell'incidente (es. ransomware, attacco DDoS, compromissione di account).
  3. Il livello di gravità stimato e l'impatto sul servizio (es. interruzione parziale o totale).
  4. Eventuali indizi di impatto transfrontaliero (se si ritiene possa interessare altri Paesi membri dell'UE)”.

È fondamentale che l'azienda comunichi che si tratta di un aggiornamento preliminare e che seguirà un rapporto più dettagliato entro un mese, ovvero un’analisi completa di cause, impatti, lezioni apprese.

 

La normativa parla di incidenti “significativi”. Di cosa stiamo parlando in pratica?

 

“Quando si parla di “incidenti significativi” nel contesto della Direttiva NIS2 è importante, innanzitutto, distinguere tra evento e incidente di cybersecurity. Un evento è qualsiasi anomalia o comportamento inatteso che può avere rilevanza per la sicurezza informatica, ma che non necessariamente produce un impatto concreto sul funzionamento dei sistemi o sui servizi erogati. Un incidente, invece, è un evento che ha effettivamente compromesso la riservatezza, l’integrità o la disponibilità di dati, reti o servizi digitali.

 

La Direttiva NIS2 richiede la notifica ad ACN (Agenzia per la Cybersicurezza Nazionale) degli incidenti “significativi”, ossia di quelli che superano determinate soglie di impatto. In particolare, devono essere segnalati gli incidenti che ricadono anche in una sola delle seguenti fattispecie:

 

  • causano disservizi gravi o interruzioni operative tali da compromettere la fornitura dei servizi essenziali;
  • determinano perdite finanziarie rilevanti per l’organizzazione o per i suoi utenti;
  • producono impatti significativi su persone fisiche o giuridiche, sia materiali (come danni economici o reputazionali) sia immateriali (violazione della privacy, perdita di fiducia, ecc.);
  • generano effetti transfrontalieri, coinvolgendo più Stati membri dell’Unione Europea;
  • oppure comportano compromissione di dati sensibili, accessi non autorizzati, o manipolazioni di sistemi e informazioni critiche.

La segnalazione, quindi, non riguarda ogni evento informatico, ma solo quelli che possono incidere concretamente sulla continuità dei servizi essenziali o sulla sicurezza dei dati, in linea con l’obiettivo di proteggere l’interesse pubblico e la stabilità del sistema nel suo complesso”.

 

La Direttiva definisce le modalità operative per designare il Referente CSIRT, cioè la figura incaricata di mantenere il contatto diretto con l’ACN in caso di incidenti o notifiche. Di cosa stiamo parlando?

 

“Il CSIRT è l’Organismo tecnico dell’ACN con il compito di prevenire, analizzare e gestire gli incidenti informatici che colpiscono reti e infrastrutture strategiche. I principali compiti del CSIRT includono il monitoraggio e l’intervento in caso di incidenti a livello nazionale, la pubblicazione di campagne di sensibilizzazione, nonché l’emissione di preallarmi o alert alle parti interessate in merito ai rischi e agli incidenti. Svolge attività di prevenzione, analisi e risposta agli attacchi cibernetici.

 

Il Referente CSIRT non è un ruolo simbolico, è un punto di contatto tecnico-operativo. Si tratta di una persona fisica designata dal punto di contatto, ossia da quel soggetto espressamente designato come tale dai Soggetti NIS, responsabile della gestione delle comunicazioni di sicurezza, della notifica degli incidenti e del coordinamento con ACN. Deve possedere competenze tecniche in ambito sicurezza informatica, capacità di gestione del rischio e disponibilità operativa continuativa

 

La designazione avverrà esclusivamente tramite il portale ACN, con autenticazione SPID o CIE, e caricamento dei dati richiesti. È consigliabile identificare già ora la figura più idonea, per evitare ritardi nelle scadenze. La finestra per la designazione va dal 20 novembre al 31 dicembre 2025. I soggetti Nis dovranno accedere al portale ACN, autenticarsi e comunicare i dati del proprio Referente selezionato e degli eventuali sostituti individuati per garantire la continuità delle comunicazioni.

Il Referente CSIRT non deve necessariamente far parte dell’organizzazione e ad oggi non sappiamo se il Punto di Contatto può ricoprire anche il ruolo di Referente CSIRT”.

 

Parliamo del focus sulla supply chain: la Direttiva riconosce che la supply chain costituisce uno degli aspetti più vulnerabili per le organizzazioni critiche. Un attacco informatico subito da una piccola impresa che fornisce servizi a un grande operatore del settore energetico, sanitario, delle infrastrutture digitali o ad una PA, può trasformarsi in un attacco a cascata in grado di compromettere l'intera funzionalità del servizio essenziale fornito dal cliente NIS2?

 

“La Direttiva NIS2 introduce un cambio di prospettiva importante nel modo di concepire la sicurezza informatica, ponendo grande attenzione al tema della supply chain. È ormai evidente che la catena di fornitura rappresenta uno degli elementi più vulnerabili dell’ecosistema digitale: un attacco informatico condotto contro un piccolo fornitore può facilmente propagarsi verso l’alto, colpendo organizzazioni critiche o servizi essenziali. Anche un’azienda non direttamente soggetta agli obblighi NIS2 può quindi trovarsi coinvolta, in quanto partner o subfornitore di un soggetto NIS2 che richiederà evidenze, controlli e garanzie sul livello di sicurezza implementato.

 

Diventa quindi cruciale comprendere con precisione il proprio posizionamento all’interno della supply chain e il grado di interconnessione con operatori critici. La gestione della sicurezza non può più limitarsi ai confini dell’organizzazione, ma deve estendersi all’intero ecosistema di partner e fornitori. Gli attaccanti, infatti, tendono sempre più spesso a sfruttare i cosiddetti “movimenti laterali”: tecniche che consentono di muoversi tra reti interconnesse, sfruttando relazioni di fiducia o accessi condivisi per raggiungere obiettivi di valore più elevato.

Per le imprese, questo scenario rappresenta al tempo stesso una sfida e un’opportunità. Investire nella sicurezza della propria infrastruttura, adottare standard riconosciuti e garantire trasparenza nei processi di gestione del rischio consente non solo di prevenire incidenti, ma anche di rafforzare la propria competitività. Essere in grado di dimostrare solidità e affidabilità in materia di cybersecurity diventerà sempre più un fattore distintivo nei rapporti commerciali e nelle gare di fornitura. In quest’ottica, la NIS2 può essere vista non come un mero adempimento normativo, ma come un’occasione per crescere in maturità digitale, costruire fiducia lungo la catena del valore e contribuire a un ecosistema più resiliente e sicuro per tutti gli attori coinvolti”.

 

Dunque, la Direttiva NIS2 non va interpretata solo come un mero obbligo normativo o un'altra check-list di compliance da spuntare. È, invece, un vero e proprio cambio di paradigma nella gestione del rischio per tutte le aziende che operano in Europa. La cybersecurity non è più solo una questione meramente informatica, ma una questione di governance. L'introduzione della responsabilità diretta per l'alta dirigenza e l'attenzione sulla sicurezza della catena di approvvigionamento lo dimostrano chiaramente. Conosciamo il valore di Node come consulente strategico in soluzioni di cyber security aziendale; ci racconti operativamente come sviluppate ed implementate piani di adeguamento alla NIS2?

 

“Il nostro approccio all’adeguamento alla Direttiva NIS2 parte sempre da una valutazione approfondita del livello di maturità digitale e di sicurezza della cooperativa. Attraverso security assessment strutturati, analizziamo infrastrutture, processi, ruoli e catena di fornitura, individuando i gap rispetto ai requisiti previsti dalla Direttiva. Questa fase diagnostica ci consente di comprendere il reale stato di sicurezza e di costruire, su basi oggettive, una roadmap di adeguamento personalizzata.

La nostra metodologia si fonda su framework internazionalmente riconosciuti — come il NIST SP 800-53 e la norma ISO/IEC 27001 — integrati con le linee guida emanate dall’Agenzia per la Cybersicurezza Nazionale (ACN), per assicurare coerenza con le migliori pratiche e gli orientamenti nazionali.

Su queste basi, accompagniamo le cooperative nella definizione delle policy di governance, nella gestione del rischio, nella nomina delle figure chiave e nella predisposizione delle procedure di notifica e gestione degli incidenti.

Il nostro obiettivo è tradurre la conformità normativa in un modello operativo sostenibile e realmente efficace, capace di rafforzare la resilienza informatica e di promuovere una cultura condivisa della sicurezza. In questo modo, la protezione dei dati, la continuità operativa e la fiducia reciproca diventano elementi centrali di valore e competitività per l’intero sistema cooperativo”.

Tag:

NodeDanilo D'EliaNIS2Supply chainAgenzia per la Cybersicurezza Nazionale
Riproduzione riservata ©
12