Con l’entrata in vigore della Direttiva Europea NIS 2 e l’imminente scadenza del 31 maggio 2025 per l’invio delle informazioni obbligatorie alla piattaforma ACN, le aziende e le organizzazioni sono chiamate a una profonda revisione delle proprie pratiche di cybersicurezza. Tra i cambiamenti più rilevanti introdotti dalla Direttiva, spicca il nuovo approccio alla gestione della supply chain, considerata oggi non più un elemento secondario, ma un vero e proprio punto critico per la resilienza dei sistemi informativi.
La NIS 2 si applica formalmente a tutte le organizzazioni, pubbliche e private, che rientrano nei parametri applicativi previsti dalla direttiva. Si tratta in particolare di soggetti essenziali e importanti operanti in settori strategici come energia, trasporti, sanità, servizi digitali, manifattura critica, finanza e pubblica amministrazione, identificati sulla base di criteri dimensionali, di fatturato e di rilevanza per la continuità dei servizi.
Tuttavia, l’impatto della NIS 2 va ben oltre i confini formali dei soggetti direttamente obbligati. Le aziende che ricadono nel perimetro applicativo devono infatti verificare la sicurezza della propria catena di fornitura, coinvolgendo in modo diretto i fornitori esterni, i partner tecnologici e i prestatori di servizi, anche quando questi ultimi non rientrano autonomamente tra i soggetti regolati dalla normativa. Questo significa che molti attori della supply chain, pur non essendo formalmente soggetti a obblighi di registrazione o notifica, sono chiamati a rispettare specifici requisiti di sicurezza come condizione per poter operare con soggetti NIS 2.
In altre parole, la compliance si propaga lungo tutta la filiera: chi fornisce servizi, infrastrutture o supporto operativo a un soggetto regolato si troverà, di fatto, a dover dimostrare di adottare standard di sicurezza coerenti con quelli previsti dalla direttiva. Un meccanismo che estende l’effetto della norma e incentiva la diffusione di una cultura della sicurezza condivisa e trasparente.
Queste tematiche sono state approfondite in modo puntuale durante un evento organizzato a Milano da Clusit e dagli Osservatori Digital Innovation del Politecnico di Milano, con la partecipazione di rappresentanti dell’Agenzia per la Cybersicurezza Nazionale (ACN). In fondo all’articolo troverete il link per seguire l’intervento in streaming.
Supply chain: bersaglio strategico
Negli ultimi anni, il panorama delle minacce informatiche ha mostrato un’evoluzione allarmante: sempre più attacchi prendono di mira l’anello debole della catena, sfruttando vulnerabilità nascoste nei fornitori, nei partner esterni o nei servizi cloud affidati a terzi. Non si tratta più di eccezioni, ma di una tendenza consolidata. Molti di questi attacchi partono proprio da fornitori considerati strategici, scelti spesso per efficienza o convenienza economica, ma raramente sottoposti a controlli rigorosi sul fronte della sicurezza. È proprio da questa fragilità strutturale che nasce l’urgenza di una regolamentazione più solida e capillare, in grado di proteggere l’intero ecosistema digitale, non solo i soggetti direttamente esposti.
Cosa cambia davvero
La Direttiva NIS2 segna un deciso cambio di passo rispetto al passato: non si limita a fornire linee guida o suggerimenti, ma introduce obblighi concreti e vincolanti. In particolare, l’articolo 24 del Decreto Legislativo 138/2024 stabilisce che tutte le organizzazioni classificate come soggetti essenziali o importanti devono adottare un vero e proprio sistema di gestione dei rischi, che comprenda esplicitamente anche la sicurezza della supply chain.
In altre parole, i rapporti con fornitori esterni, partner tecnologici e provider di servizi IT non possono più essere considerati marginali o gestiti in modo informale. Devono essere valutati con attenzione, attraverso l’introduzione di politiche chiare, controlli tecnici e procedure organizzative ben definite.
Per le imprese, questo significa andare oltre controlli saltuari o interventi a posteriori. La sicurezza dei fornitori va inserita stabilmente nei processi decisionali: occorre capire quali fornitori possono incidere sui sistemi più critici, analizzare i rischi associati, pianificare misure di continuità operativa e formalizzare tutto questo anche nei contratti, ad esempio attraverso SLA specifici, clausole di sicurezza, audit periodici, oltre all’uso di strumenti tecnici come la cifratura dei dati e l’autenticazione multifattoriale nei sistemi di comunicazione.
L’approccio basato sul rischio
Uno degli aspetti più significativi della normativa risiede nella flessibilità applicativa, che tiene conto del livello di rischio associato a ciascun sistema o fornitore. Le misure previste dalla NIS2 non sono infatti imposte in modo uniforme, ma devono essere proporzionate alla criticità dell’elemento esaminato. In pratica, è possibile limitare l’applicazione dei requisiti più stringenti solo a quei fornitori o servizi la cui compromissione potrebbe determinare un impatto significativo su riservatezza, integrità e disponibilità delle informazioni e dei servizi erogati.
La valutazione del rischio assume quindi un ruolo centrale, diventando lo strumento con cui le aziende modulano le misure da adottare, anche in un’ottica di sostenibilità economica e priorità operative. Il messaggio è chiaro: ogni soggetto conosce meglio di chiunque altro il proprio contesto operativo, e deve quindi saper giustificare – e documentare – le proprie scelte.
Vincoli e condizioni
L’esclusione dall’applicazione di una misura di sicurezza è possibile, ma subordinata a precise condizioni. È infatti consentito derogare a un requisito solo in presenza di motivazioni tecniche o normative adeguatamente documentate. Si pensi, ad esempio, a vincoli tecnologici che impediscono l’installazione di software su dispositivi medicali certificati, oppure a obblighi regolatori che limitano l’uso di determinate tecnologie.
È importante però sottolineare che la deroga non equivale a esenzione. In ogni caso, il soggetto deve dimostrare di aver condotto un’analisi del rischio e motivare le scelte adottate, eventualmente prevedendo misure compensative o accettando consapevolmente un rischio residuo.
Documentazione e tracciabilità
La conformità alla NIS2 non si esaurisce nell’adozione delle misure, ma deve essere comprovata da evidenze documentali. Questo aspetto è fondamentale sia ai fini di eventuali controlli ispettivi, sia per garantire trasparenza interna verso i vertici aziendali. Le imprese devono quindi essere pronte a fornire elenchi del personale coinvolto nella sicurezza, inventari aggiornati di asset e sistemi, piani di gestione del rischio, politiche approvate e registri delle attività svolte.
L’obiettivo non è quello di accumulare documenti, ma di assicurare che ogni decisione sia tracciabile, giustificabile e immediatamente accessibile in caso di richiesta.
Tempistiche e percorso di adeguamento
Il percorso delineato dalla normativa è scandito da tappe ben definite, che le organizzazioni coinvolte devono rispettare con attenzione. Durante l’evento organizzato da Clusit e dagli Osservatori del Politecnico di Milano, i rappresentanti dell’ACN hanno chiarito un punto fondamentale: la registrazione tardiva sulla piattaforma ACN non comporta sanzioni, ed è ancora possibile effettuarla anche oltre i termini formali fissati al 28 febbraio. Tuttavia, è importante distinguere tra chi ha già completato il processo e chi lo sta avviando solo ora.
Le organizzazioni già registrate e validate da ACN sono tenute a completare l’aggiornamento delle informazioni entro il 31 maggio 2025. L’omissione di questo adempimento è espressamente sanzionabile, motivo per cui è fondamentale assicurarsi che i dati siano caricati e confermati in tempo.
Per le aziende che si registrano solo ora, invece, è altamente probabile che non riescano a concludere l’intero processo entro il 31 maggio, poiché è necessario attendere la validazione da parte dell’Autorità prima di poter procedere con l’aggiornamento. In questi casi, ACN ha chiarito che non sarà considerata una violazione, a condizione che l’azienda abbia attivato la registrazione e generato un ticket di assistenza tramite la piattaforma. Questo sposta formalmente la responsabilità sul sistema e non sul soggetto inadempiente.
A partire da gennaio 2026 scatterà l’obbligo di notifica degli incidenti significativi, mentre entro ottobre dello stesso anno dovranno essere attuate le misure di sicurezza di base previste dalla determina tecnica dell’ACN. In una fase successiva, il percorso normativo sarà completato con l’introduzione delle specifiche a lungo termine, più articolate e settoriali, che consolideranno l’impianto di compliance.
Un cambiamento culturale
Come sottolineato durante l’evento la NIS2 rappresenta prima di tutto una spinta culturale. Per la prima volta, in Italia si affronta il tema della cybersicurezza come sfida condivisa da migliaia di soggetti pubblici e privati, accompagnata da un approccio partecipato e graduale da parte dell’Autorità Nazionale.
Il coinvolgimento dell’intero ecosistema della supply chain è ormai una condizione imprescindibile. Il rispetto della direttiva non è più solo un obbligo normativo, ma una leva per migliorare la governance digitale, ridurre il rischio e rafforzare la fiducia tra partner di filiera. La sicurezza è diventata un fattore competitivo.
Conclusioni
La Direttiva NIS2 segna un cambio di passo netto. La sicurezza informatica non è più una prerogativa dei team IT, ma una responsabilità distribuita lungo tutta la catena del valore, dai vertici aziendali ai fornitori strategici.
Prepararsi ora, con competenza e metodo, significa costruire un vantaggio competitivo sostenibile. In un contesto in cui la conformità non è solo un dovere, ma un segnale di solidità e affidabilità verso clienti, investitori e istituzioni.
In questo scenario in rapida evoluzione, diventa fondamentale poter contare su partner tecnologici solidi, competenti e già allineati ai nuovi standard. Hypergrid, in qualità di fornitore qualificato di soluzioni IT, servizi cloud, posta elettronica e cybersicurezza, è pronta ad affiancare le aziende lungo tutto il percorso di compliance alla Direttiva NIS2.
Dall’analisi del rischio alla messa in sicurezza della supply chain digitale, dalla gestione delle vulnerabilità ai piani di continuità operativa, mettiamo a disposizione competenze, strumenti e supporto strategico per garantire un adeguamento efficace, sostenibile e in linea con le richieste dell’ACN.
La sicurezza informatica non è più solo un obbligo normativo: è una scelta strategica. Con Hypergrid, puoi affrontarla con serenità: https://hypergrid.it
Per seguire lo streaming dell’evento Clusit: NIS2 istruzioni per l’uso
Devi effettuare l'accesso per postare un commento.