La NIS2 sta imponendo alle aziende un cambio di paradigma: non basta più “fare cybersecurity”, serve dimostrare in modo strutturato e continuo ciò che si fa. È questo il punto che oggi divide le imprese realmente pronte da quelle che rischiano di ritrovarsi a infrangere concretamente la legge pur avendo investito in tecnologie avanzate. La vera differenza tra aziende pronte e aziende a rischio non è la tecnologia, ma la capacità di garantire dimostrabilità.
Le aziende, in gran parte, hanno iniziato il percorso NIS2 partendo dalla componente tecnica: firewall, EDR, SOC, vulnerability assessment. Tutto corretto, ma incompleto.
La direttiva, infatti, non chiede solo protezione: chiede governance, procedure, responsabilità chiare, tracciabilità delle decisioni e delle azioni. In altre parole, appunto, dimostrabilità.
La trappola più comune: essere sicuri… ma non conformi
È possibile (e in effetti accade molto più spesso di quanto si creda) avere un’ottima postura di sicurezza e allo stesso tempo essere fuori norma. Perché la NIS2 non valuta solo il livello tecnico, ma la capacità dell’azienda di documentare:
- cosa è stato fatto
- quando
- da chi
- con quali strumenti
- in concordanza con quali procedure
Se arriva un audit dopo un incidente, non basta dire “abbiamo gestito tutto correttamente”. Bisogna provarlo. E qui molte aziende si ritrovano all’improvviso a mani vuote, o quasi: fogli Excel sparsi, email non rintracciabili, decisioni prese verbalmente, responsabilità non formalizzate.
Incidenti, ACN e responsabilità: il cuore della compliance
La NIS2 introduce obblighi stringenti: in caso di violazione, l’azienda deve notificare l’incidente sul portale ACN entro tempi precisi. Per farlo servono:
- mappatura degli asset
- monitoraggio continuo
- catena di responsabilità definita
- referente SIRT
- procedure scritte per la gestione degli incidenti
- capacità di documentare ogni passaggio
In particolare, è anche importantissimo rispettare la corretta classificazione degli eventuali incidenti, così come specificato nella normativa. Infatti, a ogni tipologia di incidente corrisponde un determinato codice identificativo, e si dividono quindi in specifiche categorie. Nel dettaglio:
- IS-1 e IS-2 riguardano incidenti riguardanti violazioni di riservatezza (IS-1) o integrità (IS-2) di servizi e attività
- IS-3 categorizza le violazioni riguardo la disponibilità di servizi e attività
- IS-4 comprende gli accessi non autorizzati e/o gli abusi dei privilegi concessi
Insomma, senza queste basi, anche un’azienda tecnicamente preparata rischia sanzioni, danni reputazionali e contestazioni sulla gestione dell’incidente.
Il problema non è “fare carta”, ma evitare la paper compliance
Nessuno, naturalmente, si auspica burocrazia inutile. Ma la documentazione richiesta dalla NIS2 non è un esercizio formale: è una linea di difesa. Se un auditor chiede “chi ha autorizzato questa scelta?”, “come avete valutato questo rischio?”, “dove sono le evidenze?”, l’azienda deve poter rispondere con un sistema strutturato, non con una ricerca affannosa tra email e file sparsi.
La NIS2 è un processo continuo
La direttiva non è un adempimento una tantum: è un ciclo continuo di valutazione, aggiornamento, gestione del rischio e risposta agli incidenti. Senza un progetto strutturato, ogni attività resta isolata e non dimostrabile.
Hai bisogno di una consulenza che sia davvero costruttiva, chiara e ti aiuti a capire come strutturare la tua azienda in conformità con le nuove normative?
