La cybersecurity esce dal perimetro IT e diventa governance aziendale. CISO, CIO e Quality Assurance convergono in una cabina di regia capace di tradurre il rischio cyber in decisioni di business
Quando si parla di NIS2, la prima reazione è una sola: finalmente. Finalmente una normativa chiara, strutturata, leggibile, che lascia poco spazio a interpretazioni arbitrarie e guida le organizzazioni verso un approccio maturo e consapevole alla sicurezza informatica. Finalmente un testo che chiama direttamente in causa la direzione aziendale, ricordando che la cybersecurity non è un tema delegabile alla sola funzione IT, ma un rischio strategico di impresa.
Per una volta, l’Italia – grazie al lavoro dell’Agenzia per la Cybersicurezza Nazionale (ACN) – recepisce la direttiva in modo rigoroso, offrendo un servizio di pubblica utilità e producendo linee guida e faq che chiariscono l’interpretazione di alcuni punti. Per anni la sicurezza informatica è stata affrontata come una questione prevalentemente tecnica: firewall, patch, gestione delle vulnerabilità. Investimenti necessari, ma non sufficienti. In Italia siamo tradizionalmente portati a partire “in corsa”, iniziando subito le attività operative dei progetti e lasciando indietro pezzi fondamentali come la definizione di ruoli, requisiti e processi.
La NIS2 segna un passaggio netto: non basta installare strumenti, occorre governare. E governare significa definire processi chiari, ruoli verificabili, responsabilità esplicite. Significa poter dimostrare, in caso di incidente o di audit, che l’organizzazione ha identificato i rischi e ha assunto decisioni consapevoli, monitorandone l’efficacia nel tempo. È un cambio di paradigma che alcune realtà, già abituate a operare in contesti regolati – come il farmaceutico o gli ambienti strutturati secondo modelli ITIL – affrontano con maggiore familiarità. Più complesso è il percorso per molte PMI, dove le difficoltà emergono meno sul piano tecnico e più su quello organizzativo.
La roadmap normativa impone fin da subito un percorso operativo chiaro e scandito nel tempo: già da gennaio 2026 è scattato l’obbligo di notifica degli incidenti significativi, seguito a marzo dalla registrazione o dall’aggiornamento dei dati aziendali sul portale ACN. A maggio è richiesta l’integrazione delle informazioni aggiuntive, mentre entro ottobre 2026 le imprese devono completare l’implementazione delle misure di sicurezza di base emerse dalla GAP Analysis iniziale. Queste scadenze sono solo l’inizio: la normativa evidenzia la necessità di una review periodica, di un miglioramento continuo e del monitoraggio dei KPI di sicurezza. Questa è la differenza tra compliance e governance. Questi elementi chiamano direttamente in causa la direzione aziendale.
LA NIS2 CAMBIA LE REGOLE
La direttiva NIS2 rafforza il ruolo dei CdA, chiamati ad assumere una responsabilità diretta e deliberativa nella gestione del rischio cyber, rendendo la sicurezza un tema trasversale che richiede integrazione tra competenze diverse. In questo contesto, il 2026 rappresenta un passaggio chiave anche sul piano regolatorio. Sono infatti attese ulteriori indicazioni operative che dovrebbero chiarire gli obblighi di medio-lungo periodo e favorire una maggiore armonizzazione tra le diverse legislazioni nazionali, con l’obiettivo di convergere verso standard europei più uniformi. Un’area che richiede ancora maggiore definizione riguarda l’estensione delle responsabilità cyber lungo la supply chain, in particolare verso fornitori e partner, e i relativi meccanismi di audit. Si tratta di un ambito tuttora soggetto a interpretazione, dove diventa fondamentale adottare un approccio pragmatico: garantire la conformità sui requisiti essenziali, mantenendo al tempo stesso processi sostenibili, con controlli proporzionati al rischio e azioni mirate, evitando complessità non necessarie.
Uno degli aspetti più innovativi e strategici della NIS2 è la centralità della governance, che vuol dire definizione chiara di ruoli e responsabilità, strutturazione di processi di gestione del rischio, formalizzazione delle procedure operative, tracciabilità di decisioni e approvazioni. La NIS2 spinge fortemente il ruolo del CISO, ma non come figura isolata. Io sono favorevole, nelle aziende strutturate, a un CISO autonomo e indipendente che si assume la responsabilità delle azioni cyber. La mia esperienza sul campo mostra che il modello più efficace è quello in cui CISO, CIO e Quality Assurance (quando presente) lavorano insieme come un team integrato di governance della sicurezza. Il CISO guida la visione di sicurezza e gestisce il rischio. Il CIO traduce la visione in fattibilità tecnica e progettuale. Il quality manager garantisce metodo, tracciabilità, auditabilità. Questa è la “cabina di regia”, capace di fare sintesi e di portare in direzione documenti chiari, non tecnici, centrati sugli impatti di processo e business. Una competenza che non è innata in tutte le organizzazioni, ma che può essere supportata da partner specializzati in settori ad alta regolamentazione, come accade tipicamente nel settore farmaceutico.
La direttiva NIS2 chiarisce il principio più importante: la sicurezza non parte dalla tecnologia, ma dal business. Per definire misure realmente efficaci è necessario partire dall’identificazione dei processi critici che devono essere garantiti anche in condizioni di crisi. Il percorso inizia dall’identificazione dei processi critici con la Business Impact Analysis (BIA): quali processi non possono fermarsi? Quali servizi sono essenziali per assicurare la continuità operativa? Su questa base si sviluppa la Risk Analysis, che consente di individuare gli scenari di rischio cyber in grado di generare impatti significativi su quei processi.
Segue la Gap Analysis, finalizzata a identificare le misure mancanti – organizzative, documentali e tecniche – rispetto ai requisiti previsti dalla direttiva. Questo approccio impone un cambio di prospettiva. Le aziende devono guardare al proprio funzionamento in modo strutturato, chiarire le priorità e rendere espliciti processi e responsabilità spesso dati per scontati.
L’EFFETTO SISTEMICO DELLA NIS2
Nella corsa alla compliance, è importante ricordare che la NIS2 produce benefici che superano i limiti dei soli soggetti obbligati. Perché il metodo che introduce – fatto di governance, processi, analisi e responsabilità – è applicabile a qualsiasi organizzazione, anche alle PMI che vogliono innalzare la propria resilienza. E questo è particolarmente vero in contesti complessi come gli stabilimenti produttivi, gli ambienti OT, le supply chain articolate, dove la governance della sicurezza non è ancora pienamente strutturata.
Questo approccio è tipico anche di operatori con esperienza consolidata, che affiancano le aziende non solo sul piano tecnico e normativo, ma soprattutto nella definizione di modelli organizzativi sostenibili nel tempo. Un supporto sempre più richiesto perché, al di là degli obblighi, la sicurezza cyber è ormai una leva di competitività. In molte realtà, i reparti IT sono solidi nella gestione tecnica dei sistemi, ma meno strutturati su aspetti come la formalizzazione dei processi, l’aggiornamento continuo delle procedure, la gestione dei cicli di review o la capacità di tradurre le esigenze tecniche in un linguaggio comprensibile al CdA.
È in questo spazio che il contributo di competenze specializzate diventa rilevante per aiutare l’IT a costruire un sistema di governance della sicurezza che sia solido, proporzionato al contesto aziendale e coerente con i requisiti della NIS2. Perché se la compliance è una scadenza, la governance è una competenza. Ed è su questa differenza che si gioca la resilienza delle organizzazioni.
Giuseppe Rosario Bungaro head of Digital Transformation di Adeodata SA
