Compliance continua

NIS2, DORA, AI Act: la conformità diventa processo, non evento



Indirizzo copiato

Per anni le certificazioni sono state un adempimento episodico. Quattro regolamenti europei — NIS2, DORA, AI Act, Data Act — impongono ora un governo del rischio continuo. In Italia crescono attacchi e certificazioni ISO 27001, mentre la compliance diventa leva di accesso al mercato e riduzione dei costi assicurativi

Pubblicato il 8 lug 2026

Giampietro Paraboni

Partner di Strategic Management Partners



Tax,And,Vat,Compliance,Concept,With,Digital,Documents,And,Checklist
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti


Per oltre vent’anni le certificazioni — ISO 27001, ISO 9001, framework di sicurezza, audit di compliance — sono state vissute dalle imprese italiane come capitolo di costo.

Il certificato come bollino: un modello in esaurimento

Una pratica obbligata, da affrontare con la logica del minimo necessario: preparazione all’audit, raccolta documentale, ottenimento del certificato, manutenzione leggera fino al rinnovo. Il certificato come bollino da esibire al cliente, alla gara, all’investitore. Operazione fatta, archivio chiuso.

Questo modello si sta esaurendo. Non per ragioni di moda manageriale, ma per un cambiamento strutturale del quadro regolatorio europeo che nei diciotto mesi appena trascorsi ha modificato in profondità la natura stessa della compliance. Le aziende e le pubbliche amministrazioni che continuano a leggere la conformità come evento periodico stanno già pagando un prezzo misurabile, in termini di esclusione progressiva da filiere internazionali, premi assicurativi più alti, perdita di affidabilità documentata davanti a clienti e cittadini.

Quattro regolamenti che ridefiniscono la natura della compliance

La direttiva NIS2, recepita in Italia con il decreto legislativo 138/2024, ha esteso il perimetro dei soggetti obbligati a presidiare la cybersicurezza ben oltre le aziende strategiche tradizionali: energia, acqua, trasporti, sanità, infrastrutture digitali, pubblica amministrazione e una larga porzione della supply chain rientrano oggi tra le categorie con obblighi strutturati di gestione del rischio, notifica degli incidenti, supply chain security e responsabilità diretta degli organi di governo.

Il regolamento DORA, applicabile dal gennaio 2025, impone requisiti stringenti di resilienza operativa digitale a banche, assicurazioni, fondi e fintech, estendendoli per la prima volta anche ai loro fornitori ICT.

L’AI Act, primo framework organico al mondo sull’intelligenza artificiale, introduce obblighi di governance, trasparenza, controllo continuo e supervisione umana sui sistemi classificati ad alto rischio — categoria che include molti dei processi automatizzati impiegati dalla pubblica amministrazione e dalle imprese che operano in settori regolamentati.

Il Data Act, applicabile dal settembre 2025, ridefinisce le regole europee sull’accesso, l’utilizzo e la portabilità dei dati, con nuovi requisiti di interoperabilità nei rapporti tra aziende, clienti e fornitori cloud.

Il filo comune: la centralità del processo

Il filo comune dei quattro testi è la centralità del processo. Nessuno chiede un adempimento puntuale, una fotografia in vista dell’audit. Tutti chiedono la dimostrazione che il governo del rischio esiste, è documentato, è monitorato, evolve nel tempo. La compliance europea, in termini operativi, è diventata continua per definizione, e si è propagata lungo la filiera: anche le aziende e le amministrazioni non direttamente regolate finiscono nel perimetro come fornitori di chi lo è.

Il contesto italiano in numeri

Il sistema italiano si trova oggi a misurarsi con un quadro operativo segnato da una pressione crescente. Nel 2025 l’Agenzia per la Cybersicurezza Nazionale ha registrato in Italia circa 2.800 eventi cyber, con 650 incidenti a impatto confermato. Lo stesso anno, secondo l’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, il 73% delle grandi imprese italiane ha subito almeno un attacco informatico, e il mercato della cybersecurity nazionale ha superato i 2,78 miliardi di euro, in crescita del 12%. La pubblica amministrazione si conferma tra i settori più esposti, con una crescita della spesa in cybersecurity del 28% nell’anno, la più alta tra tutti i comparti.

Il mercato sta rispondendo. Le certificazioni ISO 27001 in Italia sono cresciute del 38% nel biennio 2024-2025, trainate dal recepimento di NIS2 e dalle richieste della supply chain enterprise. Si tratta dell’allineamento progressivo del sistema produttivo italiano a uno standard che è insieme regolatorio e contrattuale.

I tre meccanismi del boost competitivo

In questo contesto, le certificazioni — quando costruite con metodo — cessano di essere il bollino da esibire e diventano l’infrastruttura su cui si poggiano vantaggio competitivo e solidità della governance. Il meccanismo si articola su tre piani.

Accesso al mercato

Il primo è l’accesso al mercato. Secondo l’Osservatorio del Politecnico di Milano, il 62% delle grandi aziende italiane richiede già oggi la ISO 27001 ai propri fornitori IT. Le filiere enterprise — automotive, farmaceutica, finanza, energia, sanità — stanno alzando in modo strutturale i requisiti di qualifica per i fornitori. Le gare pubbliche che riguardano dati sensibili o infrastrutture critiche includono ormai la certificazione come precondizione di partecipazione, non più come elemento premiante. Per le aziende italiane che esportano in catene del valore internazionali, il presidio della compliance non è più una scelta interna: è il prezzo del biglietto.

Riduzione del costo del rischio

Il secondo è la riduzione del costo del rischio. Il mercato europeo della cyber insurance ha raccolto premi per 3,3 miliardi di dollari nel 2024, con un tasso di crescita annuo composto del 26% nel quinquennio 2020-2024 (dati Munich Re). Le compagnie che sottoscrivono polizze cyber stanno sviluppando modelli di pricing che premiano esplicitamente le organizzazioni certificate ISO/IEC 27001:2022, richiedendo evidenze di conformità come prerequisito per la sottoscrizione. Le agenzie di rating ESG e cyber integrano la qualità della governance dei rischi nei loro modelli. Le banche, vincolate dalle aspettative di vigilanza, applicano due diligence stringenti sui fornitori critici. Una governance documentata sposta il costo del capitale, riduce i premi, abbassa i requisiti di garanzia: un effetto cumulativo che, nel medio periodo, ha un impatto economico misurabile.

Maturità organizzativa interna

Il terzo è la maturità organizzativa interna. Costruire un sistema di gestione della sicurezza delle informazioni conforme a ISO 27001 — sul serio, non in modalità “certificato lampo” — significa mettere a punto processi di accountability, gestione dei fornitori, classificazione degli asset, controllo del rischio cyber. Secondo diverse analisi di settore, una ISO 27001 ben implementata copre la maggior parte dei requisiti tecnici e organizzativi della NIS2. La stessa logica vale per i sistemi di AI governance che si stanno costruendo intorno all’AI Act e per i protocolli di resilienza operativa di DORA: l’investimento nella governance dei sistemi diventa contemporaneamente compliance regolatoria, riduzione del rischio operativo e abilitatore di velocità nei progetti di trasformazione.

Cosa cambia per la PA e per il sistema produttivo

Per la pubblica amministrazione la posta in gioco è particolarmente alta. I dati ACN mostrano che PA centrale e locale restano tra i settori più colpiti dagli eventi cyber, e il recepimento di NIS2 ha esteso a una vasta platea di enti pubblici obblighi che fino a poco tempo fa riguardavano solo perimetri ristretti. La crescita del 28% della spesa in cybersecurity da parte della PA nel 2025 testimonia una presa d’atto del problema, ma la spesa da sola non basta: occorre tradurre l’investimento in infrastruttura organizzativa, processi documentati, governance continuata. La certificazione è uno degli strumenti più efficaci per dimostrarlo, sia internamente, sia nei confronti dei cittadini, sia nei rapporti con i fornitori chiamati a rispettare gli stessi standard lungo la catena.

Per il sistema produttivo italiano la specificità è altrettanto marcata. Larga parte del tessuto industriale nazionale è costituito da medie aziende che operano come fornitori in filiere internazionali e in contesti regolamentati — meccanica di precisione per l’automotive europeo, contoterzisti farmaceutici per le grandi case continentali, fornitori ICT per banche e assicurazioni soggette a DORA, operatori della sanità digitalizzata. Per queste imprese, costruire un’infrastruttura di compliance solida rappresenta tanto un costo di adeguamento quanto, soprattutto, una leva di posizionamento commerciale verso clienti enterprise e mercati esteri. Chi si attrezza con metodo costruisce un differenziale che si traduce in nuovi contratti, accesso a filiere a marginalità più alta, premi assicurativi più contenuti, costo del debito più favorevole.

Una scelta che riguarda chi guida

Il cambio di paradigma comporta tre implicazioni operative per chi guida un’organizzazione, pubblica o privata. Il modello di compliance deve evolvere dalla logica event-driven, fondata sulla preparazione episodica all’audit, a quella della compliance continua, con monitoraggio costante, aggiornamento dei controlli, tracciabilità delle decisioni, verifica strutturata della supply chain. I sistemi di gestione di sicurezza, qualità, rischio e AI vanno progettati per parlarsi, non gestiti in silos funzionali. La responsabilità diretta degli organi di governo, introdotta da NIS2, sposta definitivamente la questione dal livello tecnico-operativo a quello strategico-decisionale.

Il certificato appeso al muro non racconta più niente. Quello che conta è la capacità di un’organizzazione di dimostrare, ogni giorno, di saper governare complessità, rischio e conformità in modo continuo, misurabile e sostenibile. Per chi guida un’azienda o un’amministrazione italiana oggi, smettere di trattare il tema come questione tecnica delegata al responsabile qualità, al CISO o al direttore IT è una scelta che condiziona la capacità stessa di stare nel mercato e di rispondere ai cittadini.

Fonti

ACN Operational Summary H1 e H2 2025;

Osservatorio Cybersecurity & Data Protection Politecnico di Milano 2024-2025; I

SO Survey 2024;

Munich Re Cyber Insurance Risks and Trends 2025;

D.lgs. 138/2024;

Reg. UE 2022/2554 (DORA);

Reg. UE 2024/1689 (AI Act);

Reg. UE 2023/2854 (Data Act).

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Articoli correlati

0
Lascia un commento, la tua opinione conta.x