L’evoluzione della minaccia informatica e la necessità di proteggere il tessuto industriale nazionale hanno portato la gestione del rischio digitale al centro delle strategie di vertice.

Durante la sessione dedicata alle nuove sfide cyber per la rivoluzione OT, svoltasi nell’ambito del Security Summit Milano 2026 e promossa dalla community Women For Security, è emerso con chiarezza come il recepimento della direttiva NIS2 stia segnando il passaggio definitivo da una conformità puramente documentale a una responsabilità diretta dei vertici aziendali.

Le testimonianze dei relatori confermano che la normativa non deve essere interpretata come un onere burocratico, bensì come un perimetro strutturato capace di guidare le organizzazioni verso una resilienza autentica, in grado di tutelare la continuità operativa dei servizi essenziali per il cittadino.

La NIS2 come acceleratore di investimenti e ordine organizzativo

Uno dei punti cardine emersi dal confronto tra i responsabili della sicurezza riguarda il valore strategico della normativa nel dialogo con la dirigenza.

Per Rosaria Di Fiore, di ASST Ovest Milanese, la direttiva rappresenta un supporto fondamentale per gestire la complessità derivante dalla digitalizzazione forzata degli ultimi anni. Di Fiore sottolinea, infatti, che: «La forte evoluzione digitale comporta un rischio di caos; la NIS2 crea ordine, obbligando a seguire processi e indirizzando tutti gli attori coinvolti».

Questa visione è condivisa anche dal settore industriale, dove la tecnologia operativa richiede tempi di intervento e approcci profondamente diversi dall’informatica tradizionale.

Ivan Monti, di Ansaldo Energia, evidenzia come l’introduzione di standard normativi stringenti abbia finalmente spostato l’attenzione dei consigli di amministrazione sulla protezione degli impianti.

Prima dell’attuale assetto normativo, era complesso ottenere l’attenzione dei board o dei colleghi dell’automazione, focalizzati quasi esclusivamente sulla produzione costante.

Il cambiamento di paradigma è misurabile nei numeri: Monti dichiara che «senza la NIS2 sarebbe stato impossibile ottenere l’attenzione del board» e riporta che, proprio grazie a questo nuovo scenario, il budget destinato alla sicurezza OT è cresciuto di 20 volte rispetto a soli cinque anni fa.

Il ruolo dell’Agenzia per la Cybersicurezza Nazionale e la finestra di adeguamento

Al centro dell’ecosistema normativo italiano si colloca l’Agenzia per la Cybersicurezza Nazionale (ACN), il cui approccio è orientato più alla guida che alla mera attività sanzionatoria.

Milena Antonella Rizzi, Capo Servizio Regolazione dell’ACN, chiarisce che l’obiettivo del regolatore non è pretendere un allineamento istantaneo di sistemi che presentano gap tecnologici di vent’anni rispetto all’IT. L’Agenzia ha messo a disposizione linee guida e FAQ per supportare i soggetti obbligati in questo percorso di transizione.

Un aspetto cruciale per le aziende riguarda i tempi della registrazione e l’opportunità di sfruttare la fase attuale per correggere le proprie posture di sicurezza.

Milena Antonella Rizzi spiega, infatti, che: «Farlo ora permette di usufruire di un “periodo di grazia” mentre le norme vengono scritte; chi si registrerà nel 2027 sarà immediatamente tenuto al rispetto totale».

L’obbligo di registrazione non riguarda solo i gestori diretti di infrastrutture critiche, ma si estende anche a quei soggetti che forniscono servizi IT a società controllate operanti in settori strategici.

Responsabilità legali dei vertici e l’art. 23

La NIS2 introduce un legame indissolubile tra la pianificazione della sicurezza e la responsabilità dei vertici. Milena Antonella Rizzi richiama l’attenzione sull’Allegato C e sulla necessità che le pianificazioni di sicurezza siano formalmente approvate dai board ai sensi dell’articolo 23.

La mancanza di tali atti formali non rappresenta solo una lacuna tecnica, ma una violazione normativa che «sarà facilmente sanzionabile» dalle autorità competenti.

Questo elemento trasforma la cybersecurity in una componente essenziale della responsabilità d’impresa, obbligando i dirigenti a una conoscenza attiva dei rischi cyber cui è esposta l’organizzazione.

Frammentazione normativa e criticità della supply chain

Nonostante gli sforzi di armonizzazione della NIS2, permangono ambiti in cui il quadro regolatorio risulta ancora frammentato, creando difficoltà operative per le imprese.

Bruno Ceradelli, di GNV, cita l’esempio del settore marittimo, dove convivono le norme della direttiva NIS dal 2020 con le regolazioni dell’IMO e le circolari del Comando Generale del Corpo delle Capitanerie di Porto. Ceradelli evidenzia che tali normative spesso «non sono esattamente integrate, creando attrito interpretativo».

La proposta di una gestione più centralizzata sotto l’egida dell’ACN viene vista come una possibile soluzione per semplificare la compliance.

Un ulteriore fronte di attenzione è quello della supply chain e della gestione dei fornitori terzi. In contesti complessi come quello navale o sanitario, i produttori di componenti critiche, come ABB, iniziano ad adeguarsi alle nuove richieste del mercato.

Tuttavia, il processo è lento e richiede una forte azione di “moral suasion” supportata dalla normativa. Milena Antonella Rizzi sottolinea che, sebbene la Commissione Europea parli di semplificazione attraverso proposte come la Single Entry Platform per ridurre i costi, per l’autorità italiana la sicurezza deve essere considerata prima di tutto un investimento e non un mero adempimento al ribasso.

Cultura della sicurezza e consapevolezza collettiva

L’efficacia della NIS2 non dipende esclusivamente dai regolamenti e dalle tecnologie, ma anche dal grado di consapevolezza diffuso all’interno delle organizzazioni e nella società.

Anna Vaccarelli, rappresentante di Clusit e Women For Security, ribadisce l’importanza di diffondere una cultura della sicurezza che parta dai giovani fino ad arrivare agli adulti e ai giornalisti generalisti.

Fornire strumenti corretti per interpretare i fatti di cronaca legati alla cybersecurity è considerato un passo essenziale per evitare allarmismi e promuovere una gestione razionale del rischio.

In questa direzione si muovono anche le iniziative di monitoraggio della consapevolezza nel settore OT. Cinzia Ercolano, fondatrice di Women For Security, ha annunciato l’avvio di una survey specifica, curata insieme alla Prof.ssa Paola Girdinio e Georgia Cesarone, volta a misurare il livello di maturità e awareness delle aziende italiane rispetto alle sfide della tecnologia operativa.

L’integrazione tra competenze tecniche, quadri normativi come la NIS2 e una forte leadership consapevole appare dunque come l’unica via percorribile per garantire la tenuta delle infrastrutture nazionali di fronte alle minacce del futuro.