Sei in perimetro NIS 2. Hai letto il D.Lgs. 138/2024. Sai che devi adeguarti entro il 2027. Ma sai davvero da dove parti?
L’89% delle organizzazioni in Europa si aspetta di dover aumentare il personale dedicato alla cybersecurity per essere conforme alla NIS 2. Eppure la maggior parte di loro avvia il percorso di adeguamento senza aver risposto a una domanda fondamentale: qual è il reale livello di maturità della mia infrastruttura oggi?
Questo articolo non spiega cosa dice la norma. Spiega cosa non sai di te stesso — e perché, senza questa consapevolezza, qualsiasi piano di conformità rischia di partire già in ritardo.
Il vero ostacolo non è la NIS 2
Molte organizzazioni pensano di avere la situazione sotto controllo. L’IT funziona, i sistemi girano, non ci sono stati incidenti gravi nell’ultimo anno. Tutto a posto, no? Non necessariamente.
La NIS 2 richiede un livello di consapevolezza sulla propria infrastruttura che va ben oltre il “funziona tutto”. Richiede di sapere cosa c’è, chi ci accede, in che stato si trova e chi ne è responsabile. Non come percezione, ma come dato verificabile.
E quando si va a guardare davvero — con metodo, non con l’impressione — quello che emerge è quasi sempre diverso da quello che ci si aspettava.
Qualche esempio concreto. Non casi limite: situazioni ordinarie, che si trovano nella maggior parte delle infrastrutture aziendali.
- Asset inventory non governato. Dispositivi attivi sulla rete di cui nessuno ha un censimento aggiornato. Endpoint che esistono, ma che nessuno sa esattamente chi gestisce o in che stato si trovano.
- Patch management non centralizzato. Gli aggiornamenti software non vengono applicati in modo uniforme su tutti i dispositivi. Il risultato è una disomogeneità di versioni — e quindi una mappa di vulnerabilità diversa da macchina a macchina, spesso invisibile finché non è troppo tardi.
- Software non controllati. Sui dispositivi aziendali si trovano applicazioni non autorizzate, non aggiornate, non necessarie. Strumenti installati per uso personale, software dimenticati, versioni obsolete che nessuno ha rimosso.
- Gestione degli accessi non corretta. Privilegi eccessivi assegnati senza criterio. Account di ex dipendenti ancora attivi. Utenti con diritti di amministratore su sistemi che non dovrebbero averli.
Ognuno di questi problemi esiste indipendentemente dalla NIS 2. Esisteva prima. La norma non li crea: li rende un tuo problema formale. Prima potevi non saperlo o far finta di non saperlo. Oggi, se sei in perimetro, quella scelta diventa una responsabilità diretta.
Perché oggi l’inconsapevolezza non è più accettabile
Nel solo 2024 sono stati registrati 3.541 attacchi gravi a livello globale. In Italia gli incidenti sono cresciuti del +15,2%, raggiungendo quota 357. Il nostro Paese subisce il 10% degli attacchi informatici globali pur rappresentando solo l’1,8% del PIL mondiale.
Questi numeri dicono una cosa precisa: le organizzazioni italiane sono esposte in modo sproporzionato rispetto alle loro capacità difensive.
Il Rapporto Clusit lo afferma con chiarezza: in Italia mancano capacità di prevenzione e mitigazione diffuse. Non si tratta solo di strumenti, ma di organizzazione e cultura.
In questo contesto, la NIS 2 non è un onere aggiuntivo. È una risposta di sistema. L’articolo 21 del D.Lgs. 138/2024 stabilisce obblighi precisi in materia di gestione del rischio: sicurezza delle reti e dei sistemi informativi, gestione degli asset, controllo degli accessi, politiche di aggiornamento. Non sono richieste astratte. Sono esattamente i punti ciechi che, nella maggior parte delle organizzazioni, nessuno aveva mai formalizzato.
Prima della NIS 2, non sapere come era fatta la propria infrastruttura era una scelta implicita. Dal momento in cui si entra in perimetro, quella scelta diventa una responsabilità.
Come costruire un piano di adeguamento NIS 2: i 3 step fondamentali
Un piano di conformità NIS 2 non inizia dalla norma. Inizia da una domanda: dove siamo adesso?
La risposta richiede un percorso strutturato in tre fasi.
Step 1: NIS 2 Maturity Assessment [il punto di partenza]
Il primo strumento è un assessment di maturità costruito sulla metodologia del NIST Cybersecurity Framework, uno dei riferimenti fondamentali su cui si poggia la NIS 2. A questo si integrano, in funzione del contesto e del settore dell’organizzazione, standard come la ISO/IEC 27001 e framework tecnici più granulari, per garantire una copertura completa anche sui controlli operativi a basso livello.
L’obiettivo non è produrre un report formale: è ottenere una fotografia reale dello stato attuale rispetto ai requisiti della direttiva.
Questo significa analizzare concretamente:
– Lo stato dell’inventario degli asset (hardware, software, utenti)
– Le politiche di patch management e il loro grado di applicazione reale
– La configurazione degli accessi e la coerenza tra ruoli e privilegi
– La presenza e l’operatività effettiva di politiche di sicurezza
Il risultato è un profilo di maturità, non un giudizio, ma una mappa. Da questa mappa si capisce dove l’organizzazione è solida e dove, invece, ci sono gap che richiedono intervento.
Step 2: Business Impact Analysis — capire cosa proteggi davvero
La Business Impact Analysis (BIA) è lo strumento con cui si identifica quali processi aziendali sono critici per la continuità operativa e quale sarebbe l’impatto della loro interruzione.
Non tutti i processi hanno lo stesso peso. Un’interruzione al sistema di fatturazione ha conseguenze diverse rispetto a un blocco della catena produttiva. La BIA mette ordine in questa complessità, valutando gli impatti su tre dimensioni: normativa, economica e reputazionale.
Senza questa analisi, qualsiasi piano di adeguamento rischia di proteggere le cose sbagliate — o di investire risorse dove il rischio è basso, trascurando dove è alto.
Step 3: Roadmap con priorità di remediation
Una volta definito il profilo di maturità e identificati i processi critici, si costruisce la roadmap operativa: un piano di remediation ordinato per priorità, con target temporali realistici rispetto alla scadenza del 2027.
Non tutto può essere fatto contemporaneamente. Le priorità si stabiliscono incrociando due variabili: il livello di criticità del gap e il costo/complessità dell’intervento. La governance delle identità e dei privilegi, per esempio, ha generalmente una priorità più alta rispetto a un programma di awareness, pur essendo entrambi obblighi previsti dalla norma.
Un nodo che si sottovaluta: le politiche «sulla carta»
C’è un problema che emerge spesso e che vale la pena nominare esplicitamente: molte organizzazioni hanno già delle policy di sicurezza. Il problema è che non le applicano.
Documenti scritti in modo generico, non aggiornati, non collegati ai processi reali. Politiche che esistono come file su un server, ma che non sono mai state messe a terra sulla realtà operativa dell’azienda.
La NIS 2 non chiede di avere un documento. Chiede che quel documento corrisponda a ciò che accade davvero nella rete, nei sistemi e nei comportamenti delle persone. La distanza tra i due — tra la policy scritta e la pratica reale — è spesso il punto più critico di tutto il percorso di adeguamento. Questo vale in modo particolare per gli organi di amministrazione, che la NIS 2 chiama direttamente in causa: non come supervisori formali, ma come attori responsabili. Approfondisci come il board deve prepararsi nella nostra guida NIS 2 e governance: guida pratica per il board.
Non sai da dove parti? È esattamente il punto
La NIS 2 non è una questione di burocrazia. È una questione di consapevolezza. L’implementazione della conformità pone sfide concrete per la maggior parte delle organizzazioni, anche tra quelle che già investono in cybersecurity (fonte: ENISA NIS Investments 2024).
Il NIS 2 Maturity Assessment di Key Partner Cyber è il punto di partenza per chi vuole costruire un piano di adeguamento su basi solide — non sull’impressione di essere a posto, ma sulla conoscenza reale di dove si è e dove bisogna arrivare.
Scopri il nostro NIS 2 Maturity Assessment e richiedi una prima valutazione.
Domande frequenti sull’adeguamento NIS 2
Chi deve adeguarsi alla NIS 2?
Le organizzazioni in perimetro NIS 2 sono i soggetti essenziali e importanti definiti dal D.Lgs. 138/2024, che recepisce la Direttiva (UE) 2022/2555. Rientrano in perimetro i settori ad alta criticità (energia, trasporti, banche, sanità, infrastrutture digitali) e i settori critici (servizi postali, gestione dei rifiuti, manifatturiero, fornitori digitali). La verifica dell’appartenenza al perimetro è il primo passo formale da compiere.
Cos’è un NIS 2 Maturity Assessment?
È un’analisi strutturata del livello di maturità cyber di un’organizzazione, condotta rispetto ai requisiti della NIS 2 e ai framework di riferimento (NIST CSF, ISO 27001 e standard tecnici integrativi). Non è un audit formale: è uno strumento operativo che aiuta a capire il punto di partenza reale, identificare i gap prioritari e costruire un piano di adeguamento fondato su dati concreti, non su percezioni.
Qual è la differenza tra soggetti essenziali e soggetti importanti?
La NIS 2 distingue due categorie in base alla criticità del settore e alle dimensioni dell’organizzazione. I soggetti essenziali operano nei settori più critici (energia, sanità, infrastrutture digitali, trasporti) e sono sottoposti a vigilanza più stringente, con ispezioni anche proattive. I soggetti importanti includono settori come il manifatturiero, i servizi postali e i fornitori digitali: la supervisione è prevalentemente reattiva, ma le sanzioni in caso di violazione restano significative. In entrambi i casi, gli obblighi tecnici e organizzativi previsti dall’art. 21 sono sostanzialmente equivalenti.
La NIS 2 riguarda anche le PMI?
In linea generale, la NIS 2 si applica a organizzazioni con almeno 50 dipendenti o un fatturato annuo superiore a 10 milioni di euro. Le microimprese sono escluse, salvo operino in settori specifici o svolgano funzioni critiche per l’infrastruttura nazionale. Questo significa che molte medie imprese italiane — soprattutto nel manifatturiero e nei servizi digitali — rientrano in perimetro senza necessariamente averne ancora piena consapevolezza. Verificare la propria posizione è il primo passo.
Chi deve occuparsi dell’adeguamento NIS 2 in azienda?
La NIS 2 assegna la responsabilità dell’adeguamento agli organi di amministrazione e direttivi dell’organizzazione, non solo all’IT. Il management è tenuto ad approvare le misure di sicurezza, supervisionarne l’attuazione e rispondere delle eventuali inadempienze. Nella pratica, il percorso coinvolge CISO o responsabile IT, direzione generale, legal/compliance e — nei soggetti essenziali — un referente formalmente designato. L’adeguamento NIS 2 non è un progetto tecnico: è un progetto aziendale.
La NIS 2 si applica anche ai fornitori e alla supply chain?
Sì. L’art. 21 del D.Lgs. 138/2024 include esplicitamente la sicurezza della catena di approvvigionamento tra le misure obbligatorie. I soggetti in perimetro devono valutare i rischi legati ai propri fornitori di tecnologia e servizi, e assicurarsi che anche questi rispettino requisiti minimi di sicurezza. In pratica, questo significa che essere fornitori di un soggetto NIS 2 può comportare requisiti contrattuali di adeguamento, anche se non si è direttamente in perimetro.
Entro quando bisogna essere conformi alla NIS 2?
Il D.Lgs. 138/2024 è in vigore dal 16 ottobre 2024. I soggetti in perimetro devono completare la registrazione sulla piattaforma ACN e avviare formalmente il percorso di adeguamento. L’orizzonte di piena conformità operativa è il 2027, ma le attività di assessment e pianificazione devono iniziare adesso: la roadmap di remediation richiede tempo per essere implementata con efficacia.
Cosa rischio se non mi adeguo alla NIS 2?
Le sanzioni previste dal D.Lgs. 138/2024 sono significative: per i soggetti essenziali si arriva fino a 10 milioni di euro o il 2% del fatturato mondiale annuo (se superiore); per i soggetti importanti fino a 7 milioni di euro o l’1,4% del fatturato. Ma il rischio non è solo economico. In caso di incidente grave, la mancata adozione delle misure previste espone il management a responsabilità diretta. La NIS 2 ha introdotto esplicitamente la responsabilità personale degli organi direttivi: non basta delegare all’IT.
