La cybersecurity non è più un tema esclusivamente tecnico, ma una priorità strategica che coinvolge direttamente i vertici aziendali e tutte le organizzazioni operanti nel digitale. Se fino a ieri la sicurezza era confinata alla gestione dei sistemi, oggi la direttiva europea NIS2 impone un cambio di prospettiva profondo, con responsabilità e obblighi che riguardano governance, misure di sicurezza, supervisione della supply chain e gestione degli incidenti, a partire dai consigli di amministrazione e dagli organi direttivi di tutti i soggetti inclusi nel perimetro della normativa.
Di questi aspetti si è discusso, il 25 marzo, nella quinta e ultima puntata della diretta LinkedIn del Registro .it, a chiusura del ciclo dedicato a professionisti e a micro, piccole e medie imprese su temi chiave della trasformazione digitale. L’incontro dal titolo “Cybersecurity, con la NIS2 cambia tutto: maggiori responsabilità, a partire dai CDA”, è stato moderato da Massimo Fellini e ha visto la partecipazione di Ernesto Belisario (avvocato ed esperto di diritto dell’innovazione e AI), Donato Molino (presidente del Comitato di Indirizzo del Registro .it – CIR e di AssoTLD) e Valentina Amenta (responsabile dell’Unità aspetti legali e contenzioso del Registro .it).
Al centro del confronto, l’impatto della direttiva europea NIS2, recepita in Italia con il decreto legislativo 134/2024, che amplia in modo significativo il perimetro dei soggetti coinvolti e introduce nuovi obblighi organizzativi e operativi.
Come evidenziato da Ernesto Belisario, il contesto attuale è caratterizzato da un aumento significativo degli attacchi informatici e da costi sempre più elevati legati ai data breach. In questo scenario, la normativa europea punta a rafforzare la resilienza delle organizzazioni, introducendo un elemento di forte discontinuità: il coinvolgimento diretto degli organi di amministrazione, chiamati ad approvare le misure di sicurezza, supervisionarne l’attuazione e promuovere la formazione interna.
Tra gli aspetti più innovativi della NIS2 emerge l’attenzione alla sicurezza della supply chain. Le organizzazioni sono infatti tenute a valutare e monitorare i propri fornitori, introducendo requisiti di sicurezza nei contratti e verifiche periodiche, in un’ottica di gestione del rischio estesa all’intera catena del valore.
Dal punto di vista operativo, la direttiva impone tempistiche stringenti per la notifica degli incidenti, entro 24 ore per il preallarme e 72 ore per la comunicazione completa, richiedendo quindi strutture organizzative e processi adeguati. A ciò si aggiunge un regime sanzionatorio rilevante, che può arrivare fino al 2% del fatturato globale per i soggetti essenziali.
Nel suo intervento, Valentina Amenta ha sottolineato come la NIS2 rappresenti un’evoluzione profonda rispetto alla precedente direttiva (NIS1), rimarcando ancora una volta come il focus si sposti dalla singola organizzazione all’intero ecosistema digitale, rendendo evidente come le vulnerabilità possano annidarsi lungo tutta la supply chain. Un cambiamento che richiede non solo investimenti tecnologici, ma anche un salto culturale, con maggiore consapevolezza e un approccio proattivo alla gestione del rischio.
Un tema particolarmente rilevante riguarda il livello di maturità delle imprese italiane, soprattutto delle PMI. Se da un lato la consapevolezza del rischio cyber è cresciuta, dall’altro permangono criticità legate alla carenza di competenze e alle risorse necessarie per adeguarsi pienamente alla normativa. In questo senso, la NIS2 può rappresentare anche un’opportunità: le aziende che investono in sicurezza rafforzano la propria posizione sul mercato e la capacità di restare all’interno delle catene di fornitura.
Donato Molino ha evidenziato come, dopo una prima fase caratterizzata soprattutto da adempimenti formali, le imprese stiano entrando in una fase più operativa, fatta di analisi dei rischi, definizione di procedure e implementazione di misure concrete. Particolare attenzione è richiesta anche agli aspetti di governance: la responsabilità diretta degli organi amministrativi e la necessità di adottare piani di continuità operativa e disaster recovery impongono un ripensamento dei processi interni.
Non mancano tuttavia le difficoltà, soprattutto per le realtà più piccole, che devono confrontarsi con tempi di adeguamento stringenti, complessità procedurali e nuove responsabilità. In questo contesto, è emersa l’importanza della collaborazione tra istituzioni, associazioni di categoria e attori del settore per supportare le imprese, in particolare sul fronte della formazione e della diffusione di linee guida chiare.
Molino ha anche posto l’accento sul ruolo specifico dei Registrar, inizialmente esclusi dalla normativa e ora considerati soggetti essenziali per la sicurezza delle infrastrutture digitali, in particolare per la gestione dei dati dei nomi a dominio. Pur essendo spesso piccole realtà, devono garantire accuratezza e completezza delle informazioni e rendere trasparenti le proprie procedure operative. Questa nuova responsabilità richiede adeguamenti strutturali e procedurali, ma rappresenta anche un’occasione per rafforzare la sicurezza complessiva della rete italiana.
A pochi mesi dalle principali scadenze previste dalla normativa, il percorso di adeguamento appare quindi avviato, ma ancora in evoluzione. La NIS2 deve essere percepita non come un mero adempimento burocratico, ma come un vero e proprio investimento strategico per imprese e pubblica amministrazione. La vera sfida per il sistema Paese sarà trasformare la compliance in capacità operativa: integrare la sicurezza nei processi, rafforzare la resilienza e rendere il tessuto economico più affidabile e competitivo nel lungo periodo.