La grande attesa è finita poco prima di Pasqua con gli Allegati 1 e 2 della Determinazione n. 164179/2025 dell’Agenzia per la Cybersicurezza Nazionale, dove si specificano le misure di sicurezza di base rispettivamente per soggetti importanti ed essenziali per la Nis2, da soddisfare progressivamente entro ottobre 2026.
Assistenza e consulenza
per acquisto in asta
A leggerli, qualsiasi professionista del settore, che abbia una certa conoscenza dello stato dell’arte della cybersecurity nel nostro paese, avrà pensato che per un buon 80 per cento delle organizzazioni italiane si tratterà di fare in 18 mesi quello che non è stato fatto in 18 anni. Oltre a questo, si presentano almeno tre rischi che in diversa misura riguardano tutti gli operatori.
Eccessivo formalismo e misure sproporzionate nelle misure di sicurezza base Nis 2
Un primo rischio è stato più volte e in diversi modi evidenziati. L’adeguamento alla NIS 2 si potrebbe tradurre in un esercizio di compliance formale, esclusivamente burocratico a scapito delle reali esigenze di sicurezza, soprattutto per organizzazioni di dimensioni medio-piccole o con una maturità cyber ridotta (la maggioranza delle aziende italiane).
La lista di misure di base prevista da ACN (oltre 80 requisiti per i soggetti importanti, e oltre 110 per gli essenziali) potrebbe diventare la “solita checklist” da compilare senza una concreta integrazione dei controlli nel contesto aziendale. In altri termini, concentrarsi solo sulla documentazione e sulle procedure potrebbe distogliere risorse dalla gestione efficace dei rischi, se le misure vengono implementate in modo puramente formale.
Il problema sarà esplosivo nelle realtà più piccole o meno mature e per quelle cha arrivano da settori in cui la sicurezza cyber non era mai stata un tema (pensiamo agli operatori attivi nella gestione dei rifiuti in cui il tema era la sicurezza fisica e ambientale, non certo quella informatica).
Proprio la siderale distanza tra il punto di partenza e quello di arrivo può spingere tali enti ad adottare un approccio burocratico pur di soddisfare gli obblighi, senza però riuscire a mettere a terra i controlli scritti su carta. Procedure come l’aggiornamento continuo di inventari, policy e ruoli, o la formalizzazione di processi di risk management, possono gravare pesantemente su strutture organizzative con personale e competenze limitate. La stessa ACN ha parlato di un’applicazione dei requisiti in maniera proporzionata e tenendo conto delle specificità dimensionali e settoriale. Evitare questo rischio dipende proprio da come si comporterà l’Agenzia e quali saranno le sue richieste in pratica.
Contributi e agevolazioni
per le imprese
Disallineamenti e best practice sulle misure di sicurezza Nis 2
Leggendo i requisiti di alto livello della NIS 2 sono evidentemente in linea con i domini di sicurezza comunemente riconosciuti. L’ACN, richiamando il Framework Nazionale di Cybersecurity e Protezione dei Dati, ha strutturato le misure di base su funzioni simili, ma non uguali, a quelle del NIST CSF, soprattutto nella sua versione più recente. Ne consegue che chi ha già implementato un SGSI secondo ISO 27001 o un framework NIST debba tradurre i propri controlli nel contesto specifico. Un potenziale grave disallineamento riguarda il perimetro e la natura dei controlli richiesti.
Ad esempio, NIS2 pone forte enfasi su aspetti come la gestione dei fornitori e della supply chain cyber, elemento considerato in alcuni standard volontari, ma non con tanto dettaglio. Viceversa, framework come ISO 27001 enfatizzano il miglioramento continuo un elemento culturale difficile da evidenziare formalmente. Il tema della notifica degli incidenti è non meno spinoso per cui le stesse norme cogente hanno tempistiche di segnalazione e le agenzie da informare diverse.
Le aziende devono stabilire processi che soddisfino la soglia più stringente (24h NIS2), pur dovendo anche mantenere la conformità alle altre normative. L’azienda che abbia già investito in certificazioni o framework riconosciuti, in virtù della divergenza rischia di trovarsi a gestire una duplicazione documentale e di verifiche da svolgere. Alcuni Stati membri, come il Belgio, hanno previsto l’equivalenza tra certificazione ISO 27001 e adempimento NIS 2, a riprova di una forte sovrapposizione. In Italia, al momento, tale equivalenza formale non è sancita, il che obbliga le organizzazioni a un mapping interno tra controlli ISO/NIST e misure ACN.
Questa attività richiede risorse e competenze aggiuntive, e se non condotta correttamente può lasciare carenze (controlli non coperti perché non previsti dallo standard utilizzato) o incongruenze (classificazioni diverse di rischi e asset). In ultimo, ma non meno importante essendo la NIS 2 una direttiva e non un regolamento, lascia spazio a interpretazioni diverse da parte degli Stati membri. Questo sta determinando (vedi differenza tra Belgio e Italia) a una trasposizione disomogenea nei requisiti di conformità. Tale frammentazione complica la conformità per le organizzazioni che operano in più paesi e potrebbe minare l’obiettivo di un livello comune di sicurezza informatica nell’UE.
Costi, duplicazioni e rigidità
Un impatto immediato per tutte le organizzazioni è l’aumento dei costi e carichi amministrativi. Adeguarsi alle misure di base ACN significa dover implementare nuovi controlli, tecnologie, procedure, formazione del personale, auditing continuo e sistemi di reporting verso l’ACN. Tutto ciò richiede investimenti economici e di risorse umane non trascurabili.
Secondo un rapporto ENISA del 2024, la maggior parte delle organizzazioni prevede un aumento permanente del budget cybersecurity proprio per conformarsi a NIS 2, ma ben il 34% delle PMI dichiara di non poter ottenere budget aggiuntivo a tal fine.
Inoltre, fino all’89% delle organizzazioni si aspetta di dover assumere (o dedicare) personale cyber aggiuntivo per gestire i nuovi obblighi, in un contesto in cui già oggi il 59% delle PMI fatica a reperire esperti di sicurezza informatica.
Ciò indica che molte imprese dovranno redistribuire risorse interne o rivolgersi a consulenti esterni, con conseguenti costi operativi extra. Per realtà con margini ristretti o limitata forza lavoro qualificata, questo sforzo può sottrarre risorse ad altre attività core. Un altro impatto è la possibile duplicazione di adempimenti e la sovrapposizione normativa.
Vuoi acquistare in asta
Consulenza gratuita
I soggetti NIS spesso rientrano anche in altri regimi regolamentari: si pensi ad esempio alle banche o assicurazioni (coperte da DORA), alle infrastrutture critiche fisiche (coperte dalla direttiva CER), o ancora agli obblighi di data protection (GDPR) e alle altre normative settoriali. La coesistenza di requisiti affini ma non identici aggiungerà un significativo carico di lavoro burocratico ai grandi operatori. Una moltiplicazione di sforzi amministrativi la cui utilità in termini di sicurezza cyber appare almeno dubbia.
La notifica incidenti per Nis 2
Concludo con il tema della notifica degli incidenti, obbligatoria da gennaio 2026, che nel suo essere stringente rischia di essere una richiesta in primo luogo poco realistica. Immaginatevi un attacco grave portato contemporaneamente a più legal entities dello stesso gruppo che opera in più Stati e la prima o al massimo la seconda cosa che si deve fare è aprire dei canali di comunicazioni formali con decine di agenzie di diversi paesi. Forse le priorità dovrebbero essere altre. Aggiungiamo poi che nel dubbio molti potrebbero decidere di notificare qualsiasi evento. Un eccesso di notifiche potrebbe sovraccaricare sia le organizzazioni sia l’ACN, rendendo difficile distinguere le vere emergenze.
In conclusione, possiamo dire che nel breve periodo le imprese si troveranno ad affrontare maggiori costi, carichi di lavoro amministrativo extra e necessità di nuove competenze. Quello che accadrà nel medio-lungo dipenderà molto da come si comporterà ACN, escludendo che per una qualche magia improvvisamente il nostro paese acquisisca quella consapevolezza di cui si parla da un ventennio.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
Trasforma il tuo sogno in realtà
partecipa alle aste immobiliari.
