Era stato prorogato a oggi, 31 luglio 2025, il termine ultimo per comunicare le informazioni aziendali sul portale ACN, un passaggio fondamentale per la conformità alla Direttiva NIS2 (Network and Information Systems Directive 2), recepita in Italia con il Decreto Legislativo 138/2024.

Ricordiamo che la NIS2 rappresenta un importante aggiornamento normativo che estende gli obblighi di cybersicurezza a un’ampia gamma di organizzazioni, incluse le PMI e le pubbliche amministrazioni (PA) locali, specialmente se operanti in settori critici o facenti parte di catene di approvvigionamento essenziali.

Ora, dunque, è tempo di fare sul serio, anche perché la scadenza di gennaio per l’adozione delle nuove regole sulla notifica degli incidenti è vicina.

Sfide per PMI e PA locali in Italia

È fondamentale scongiurare il rischio che una rapida e ampia trasposizione della NIS2 in Italia, include le PMI nelle catene di approvvigionamento critiche, possa generare una percezione di “sovra regolamentazione”.

Le PMI, con risorse limitate e una non sufficiente maturità di cyber sicurezza, rischiano di non riuscire a conformarsi pienamente, compromettendo l’efficacia della direttiva per queste organizzazioni.

La frammentazione dell’implementazione a livello UE complica ulteriormente la situazione per le PMI con operazioni transfrontaliere.

Divario di competenze e vincoli di risorse

L’Italia affronta una carenza strutturale di professionisti della cyber sicurezza e le PMI, in particolare, faticano a investire in soluzioni avanzate e a trattenere personale qualificato.

Spesso le organizzazioni non hanno un budget dedicato alla NIS2 anche derivante da una mancato coinvolge della direzione, nonostante sia un requisito legale.

Questo deficit di capitale umano e finanziario, nonché di sensibilizzazione, ostacola l’implementazione pratica della direttiva.

Sfide specifiche per le pubbliche amministrazioni locali

La NIS2 si applica anche alle PA centrali e regionali, basandosi su una valutazione del rischio che considera l’impatto di interruzioni sui servizi critici.

Il D.lgs. 138/2024 rappresenta un “cambiamento epocale” per le PA, ampliando il campo di applicazione.

Le PA locali, come le PMI, possono affrontare carenze di risorse e competenze specialistiche. Nonostante l’obbligo di adottare le “Misure minime di sicurezza Ict” di AgID dal 2017, l’allineamento completo con i requisiti NIS2 richiede sforzi e investimenti aggiuntivi.

Approcci pratici alla conformità NIS2

La NIS2 impone un approccio basato sul rischio, richiedendo alle organizzazioni di identificare, monitorare e mitigare i rischi per i propri sistemi.

Il “Framework Nazionale per la Cybersecurity 2025” dell’Acn, compatibile con il NIST Cybersecurity Framework 2.0, fornisce una metodologia riconosciuta e agnostica dal fornitore per la gestione del rischio.

Questo permette alle organizzazioni di sfruttare investimenti esistenti (per esempio, certificazioni in essere alla ISO 27001) e di adottare un approccio basato su principi, favorendo flessibilità ed efficienza dei costi.

Il ruolo degli strumenti open source

La NIS2 consente l’uso di software open source, ma attribuisce la piena responsabilità della sua sicurezza e conformità alle organizzazioni che lo utilizzano.

Pratiche chiave per l’open source:

• dare priorità a progetti ben mantenuti con contributori attivi;
• garantire pratiche di sviluppo sicure;
• monitorare continuamente gli avvisi di sicurezza e scansionare automaticamente le vulnerabilità.

Tabella: esempi di strumenti di cyber sicurezza open source e la loro rilevanza per la NIS2

Formazione e roadmap di compliance

La NIS2 richiede che gli organi direttivi ricevano formazione adeguata sui rischi e le pratiche di gestione della cyber sicurezza.

L’ACN e altri enti promuovono diverse iniziative:

• corsi ACN e partner: l’ACN, con università come La Sapienza e il CINI, ha sviluppato il “Framework Nazionale per la Cybersecurity 2025”. Esistono corsi specifici corsi per IT Manager, CISO e personale tecnico con simulazioni operative;
• iniziative governative: Il governo italiano sta implementando nuove misure con investimenti nazionali dedicati alla cyber sicurezza e la creazione di un “National Cybersecurity Campus” per stimolare lo sviluppo di competenze;
• formazione continua: è essenziale sensibilizzare tutto il personale sui rischi cyber, formare il personale specializzato ed educare i dirigenti sulle loro responsabilità.

Roadmap operativa per la conformità NIS2

Per le organizzazioni, una roadmap strutturata è fondamentale.

Determinare l’ambito di applicazione e valutare le lacune:

• verificare se le organizzazioni rientra nella NIS2 (essenziale o importante);
• identificare le lacune rispetto ai requisiti NIS2 per stimare lo sforzo e pianificare i budget.

Registrazione presso l’Autorità competente:

• registrarsi presso l’ACN tramite il portale ufficiale (https://portale.acn.gov.it/) entro le scadenze (es. 28 febbraio 2025 per la maggior parte delle organizzazioni);
• affinate il “backlog di conformità” con le specifiche richieste dall’ACN.

Implementazione delle misure:

• completare le attività identificate nel “backlog di conformità” prima della scadenza imposta;
• integrare le organizzazioni nei meccanismi di cooperazione (CSIRT, EU- CyCLONe) e predisporre procedure chiare per la notifica degli incidenti, rispettando le tempistiche di 24 e 72 ore.

Scadenza e audit:

• le organizzazioni essenziali potrebbero essere soggette a audit, così come le importanti se ci sono motivi. Alcuni Stati membri potrebbero richiedere audit periodici o autovalutazioni.

Questa roadmap offre un quadro pratico per affrontare la conformità NIS2 in modo metodico, trasformando un obbligo normativo in un’opportunità per rafforzare la resilienza cibernetica.

Un passo cruciale per la resilienza del sistema

L’Italia, con il D.lgs. 138/2024, ha dimostrato un impegno significativo nel rafforzare la cyber sicurezza nazionale in linea con la Direttiva NIS2. L’ampliamento della portata normativa a PMI e PA locali è un passo cruciale per la resilienza complessiva del sistema.

Tuttavia, le sfide sono concrete e in particolare la complessità normativa e il divario di competenze e le risorse limitate per entrambe richiedono un approccio strategico e strutturato.

Il ruolo dell’ACN è centrale nel guidare le organizzazioni e l’enfasi sulla responsabilità degli organi direttivi eleva la cyber sicurezza a una priorità di governance.

Per una conformità efficace e una resilienza duratura, è fondamentale:

• investire nella formazione: colmare il divario di competenze attraverso programmi mirati (anche quelli offerti da ACN e partner) e promuovere una cultura della cyber sicurezza a tutti i livelli;
• adottare un sistema di gestione olistico: le aziende devono integrare la
  conformità NIS2 con altre normative (Data Act, DORA, GDPR) e sfruttare framework internazionali come il NIST CSF o con framework già preesistenti nelle organizzazioni come la ISO 27001.

Affrontare queste sfide con determinazione permetterà all’Italia di consolidare la propria postura di cyber sicurezza e di garantire un futuro digitale più sicuro per tutti.

Oltre all’approccio applicativo delle richieste della norma, risulta infine, ma non meno importante, un approccio “cognitivo” della materia, un cambiamento, se si vuole radicale, nell’intendere gli aspetti legati al digitale partendo dalla sua sicurezza, per poi declinarli alla necessità e utilizzabilità.

Il digitale è utile, fondamentale in una cultura moderna, un digitale non sicuro è inutile se non addirittura pericoloso in caso di strutture critiche o fondamentali per la vita del paese.

Aspetti che anche la nuova Direttiva NIS2 vuole percorrere partendo dal nocciolo principale di ogni organizzazione: l’organo direttivo e di comando.

Il vertice di ogni organizzazione dovrà, pertanto, intraprendere un percorso di sana consapevolezza sulla sicurezza delle informazioni e, una volta acquisita, richiederla a tutti i membri dell’organizzazione stessa.