La NIS 2 non è una checklist né un elenco di adempimenti e nemmeno un insieme di documenti da aggiornare, ma un modello di comando, un modo nuovo di leggere l’organizzazione e le sue dipendenze vitali.

Dopo aver esplorato la portata dell’articolo 24 del decreto NIS (OT e sistemi critici), l’obbligo annuale dell’articolo 30 dello stesso provvedimento (classificazione delle attività) e il ciclo di revisione prescritto dalla Determinazione ACN del 14 aprile 2025, questo quarto e ultimo capitolo della tetralogia dedicata alla direttiva europea unisce tutto in una visione strategica: la costruzione di una postura NIS 2 realmente resiliente che integra tecnologia, processi, persone e responsabilità.

La NIS 2 come infrastruttura di comando

Un’organizzazione non diventa resiliente solo perché ha predisposto politiche impeccabili o perché ha definito ruoli e responsabilità o ancora perché ha classificato correttamente attività e servizi.

Diventa resiliente quando IT, OT, risk management, compliance, organi sociali, manutenzione, produzione, direzione generale e funzioni di controllo iniziano a ragionare:

• nello stesso modo;
• con gli stessi obiettivi;
• con la stessa consapevolezza del rischio.

La NIS 2 offre tutti gli strumenti necessari per costruire questa postura, ma solo se vengono integrati. È come avere una mappa e un sistema di segnalazione che sono utili singolarmente, ma che diventano indispensabili solo se vengono usati insieme.

Ecco come farlo: una guida nella costruzione di un modello operativo che trasformi la NIS 2 da obbligo normativo a infrastruttura di comando.

La postura è molto più di un perimetro

Per anni la sicurezza è stata interpretata come difesa del perimetro: firewall, antivirus, segmentazione, monitoraggio della rete.

Sono certamente tutti strumenti importanti, ma la NIS 2 ha cambiato lo schema.

Non chiede soltanto di proteggere i sistemi informativi e la rete. Chiede pure di garantire la capacità dell’organizzazione di erogare i propri servizi anche in condizioni avverse. È un salto culturale dal perimetro alla continuità.

La postura è quindi la somma di tutte le scelte che rendono un’organizzazione capace di restare operativa e queste scelte si costruiscono integrando IT, OT, governance e revisione continua.

Dall’articolo 24 del decreto NIS all’unità operativa IT+OT

L’articolo 24 del decreto 138/2024 ha reso visibile un mondo che per molti era secondario: il mondo OT, i macchinari, gli impianti industriali, i PLC, le apparecchiature critiche.

Proteggere un’organizzazione significa proteggere ciò che la fa funzionare e ciò che la fa funzionare vive in due dimensioni:

• l’informazione (IT);
• l’operazione fisica (OT).

Queste due dimensioni devono diventare un’unica architettura mentale e operativa.
Una vera postura di conformità alla NIS 2 è realizzata in concreto quando:

• l’inventario IT e l’inventario OT vengono unificati, o per lo meno gestiti entrambi con pari dignità;
• le vulnerabilità di un PLC sono trattate come quelle di un server;
• la manutenzione dialoga con la sicurezza;
• chi si occupa della produzione e dell’erogazione dei servizi partecipa al processo di individuazione e valutazione delle vulnerabilità gestione degli incidenti;
• le gap analysis e gli audit includono entrambi i domini senza distinzione artificiale.

Quindi, la distinzione culturale tra IT e OT non è più sostenibile.

L’articolo 30 come cardine del processo decisionale

Nel secondo articolo della tetralogia abbiamo visto come l’articolo 30 del decreto NIS obblighi le organizzazioni a classificare annualmente le proprie attività e i propri servizi.

Quella classificazione non è un esercizio descrittivo, ma il cardine del processo decisionale.

Infatti, potrà definire priorità, budget, misure, architetture, SLA, piani di emergenza, se l’organizzazione conosce quali:

• attività sono critiche;
• generano impatti sistemici;
• sono dipendenti da sistemi OT;
• sono esposte a vulnerabilità;
• richiedono continuità immediata,

Ecco perché l’articolo 30 è un vero e proprio indicatore strategico.

La Determinazione Acn del 14/04/2025 e il ciclo vitale del sistema – NIS

Una struttura che non si aggiorna muore. Una procedura che non viene rivista diventa obsoleta. Euna catena di comando che non evolve perde efficacia.

La Determinazione ACN del 14/04/2025 stabilisce, tra l’altro, che, ogni anno, ogni due anni e ogni volta che un incidente rivela un punto cieco, tutto il sistema NIS deve essere rivisto, aggiornato, ricontrollato, adattato e migliorato.

Questo ciclo costruisce un sistema che funziona e che apprende e una governance che evolve insieme alle minacce.

La postura di conformità nasce anche da questa vitalità.

La postura di conformità come identità organizzativa

La nostra tetralogia è volta a dimostrare che la postura di conformità alla NIS 2 è il risultato di un’integrazione continua tra:

• protezione dei sistemi critici (art. 24 del decreto NIS);
• classificazione delle attività (art. 30 del decreto NIS);
• revisione delle procedure (Det. ACN 14/04/2025).

Questa integrazione produce cinque effetti decisivi:

• chiarezza: l’organizzazione sa davvero cosa è critico, lo analizza, lo documenta, lo dimostra;
• priorità: non tutto può essere protetto allo stesso modo, una postura solida nasce da scelte consapevoli;
• coordinamento: la sicurezza diventa una funzione orizzontale non più confinata nell’IT;
• continuità operativa: la resilienza diventa una caratteristica strutturale non un esercizio di tabletop;
• comando: la NIS 2 vuole dirigenti che decidono non che delegano. Vuole organi sociali che si assumono responsabilità, non che firmano policy. È un modello di leadership.

Quando tutte queste dimensioni si uniscono, nasce una cultura che non si limita a “fare sicurezza”, ma la incorpora nel modo di lavorare.

Si tratta di una cultura che riconosce:

• l’interdipendenza dei sistemi;
• la fragilità delle infrastrutture;
• la forza della consapevolezza.

La postura di conformità diventa così parte dell’identità dell’organizzazione: un modo di essere prima ancora che un insieme di misure ed è qui che la NIS 2 raggiunge la sua maturità.

Un cambio di postura NIS 2

Arrivati alla fine di questo percorso, auspichiamo che la NIS 2 non appaia più come un insieme di obblighi tecnici ma come un modo nuovo di interpretare il comando.

È un cambio di postura che chiede alle organizzazioni di:

• far leva sui propri punti vitali;
• riconoscere le proprie vulnerabilità e di trasformarle in forza.

Ancora una volta, la tetralogia ha mostrato che questo passaggio non nasce da un singolo articolo del decreto NIS, ma dall’integrazione viva di tutti gli elementi: la protezione dell’OT e delle apparecchiature critiche, la classificazione annuale delle attività e dei servizi, la revisione ciclica imposta dalla Determinazione ACN del 14/04/2025 e l’unificazione culturale di IT, OT e governance.

Quando questi frammenti si ricompongono, l’organizzazione smette di difendersi a compartimenti stagni e inizia a muoversi come un’unica struttura, consapevole delle proprie dipendenze e del proprio ruolo nel sistema più ampio di cui fa parte.

È proprio qui che la NIS 2 mostra la sua forza: non nel dettaglio di un requisito, ma nella capacità di trasformare un obbligo normativo in un metodo per sapere chi si è, cosa è davvero importante e come ci si prepara a proteggerlo.