NIS2, il conto della cybersecurity arriva sul tavolo del CDA

LTra pochi mesi, per molti consigli di amministrazione italiani la cybersecurity smetterà di essere un tema tecnico e diventerà una voce di rischio personale, economico e reputazionale.

Con la Direttiva NIS2, il rischio informatico non riguarda più soltanto firewall, backup e procedure tecniche: diventa una questione di governance, responsabilità personale e continuità aziendale. Per amministratori delegati, presidenti esecutivi, direttori generali e membri del CDA, la mancata conformità può produrre conseguenze giuridiche, economiche e reputazionali dirette. Il punto non è sapere come funziona un firewall. È poter dimostrare di aver vigilato. Tra pochi mesi, non sapere non sarà un’attenuante.

Il contesto: l’Italia sotto pressione e la risposta europea

2.403 attacchi informatici a settimana, contro una media globale di 2.090. Non si tratta di una statistica astratta, ma della dimensione concreta del rischio operativo che oggi incombe, ogni settimana, sulle organizzazioni italiane di medie e grandi dimensioni. Le organizzazioni italiane subiscono più attacchi informatici delle omologhe tedesche, francesi, spagnole: secondo il Global Threat Intelligence Report di Check Point Research, a gennaio 2026 si sono verificati in media 2.403 attacchi a settimana, contro una media globale di 2.090[1].

Il Rapporto Clusit 2025 certifica una crescita del +15,2% degli attacchi gravi in Italia nell’ultimo anno — 357 incidenti classificati come gravi o critici, il 10% di tutti quelli registrati a livello mondiale, in un paese che pesa per meno del 2% del PIL globale. PMI e supply chain sono indicate come bersagli primari: non perché siano le più ricche, ma perché sono le meno protette.

Le ragioni sono strutturali: un tessuto produttivo fatto di aziende medie, spesso con tecnologie datate, spesso prive di una funzione di sicurezza strutturata, spesso dipendenti da una filiera di fornitori con standard eterogenei. Un terreno fertile.

La risposta europea: dalla moral suasion alla responsabilità personale

La prima Direttiva NIS (2016) puntava sulla consapevolezza. Era fondata prevalentemente su un approccio di sensibilizzazione e coordinamento: definiva standard minimi, promuoveva buone pratiche e lasciava agli Stati membri ampi margini di discrezionalità nell’attuazione. Otto anni dopo, il bilancio è chiaro: applicazione frammentata, livelli di maturità profondamente disomogenei tra Paesi e settori strategici, mentre il panorama delle minacce informatiche è cresciuto in intensità, sofisticazione e impatto economico.

L’Unione Europea ha quindi tratto la logica conclusione: l’approccio volontaristico non funziona. La Direttiva NIS2 introduce così un cambio di paradigma profondo: non più un sistema fondato sulla mera raccomandazione di adottare misure di sicurezza, ma un modello che attribuisce precise responsabilità ai vertici delle organizzazioni. Il messaggio è molto più diretto: la sicurezza informatica non è più soltanto una questione tecnica, ma un tema di governo societario e di responsabilità personale.

La logica è la stessa già vista in altri ambiti regolatori europei: antiriciclaggio, sicurezza sul lavoro, protezione dei dati personali. Non basta nominare un responsabile tecnico per trasferire integralmente il rischio giuridico. La delega organizzativa non elimina il dovere di verifica e vigilanza dell’organo amministrativo. Ed è proprio qui che la NIS2 produce il suo effetto più rilevante: la domanda delle autorità, dopo un incidente, non sarà più soltanto quale vulnerabilità tecnica sia stata sfruttata, ma chi fosse responsabile della supervisione, quali controlli fossero stati approvati, se il management fosse stato informato dei rischi.

Lo stato dell’arte in Italia

L’Italia è stata tra i soli quattro paesi europei, insieme a Croazia, Belgio e Lituania ad aver recepito la NIS2 entro la scadenza del 17 ottobre 2024[2]. Con il Decreto Legislativo n. 138/2024, entrato in vigore il 16 ottobre 2024, il legislatore ha attribuito all’Agenzia per la Cybersicurezza Nazionale il ruolo di Autorità nazionale competente NIS, conferendole poteri estesi di vigilanza, ispezione, richiesta documentale e applicazione di sanzioni amministrative.

Dal 12 aprile 2025 l’ACN ha iniziato a notificare via PEC alle organizzazioni interessate la loro inclusione nel perimetro NIS. I numeri restituiscono con chiarezza la portata del nuovo sistema regolatorio: oltre 30.000 realtà hanno partecipato alla fase di censimento e più di 20.000 organizzazioni risultano oggi incluse nell’elenco dei soggetti NIS, di cui oltre 5.000 classificate come soggetti essenziali[3].

Il percorso di adeguamento non è futuro o ipotetico: è già operativo. Le principali scadenze si stanno progressivamente consolidando.

La fase della “gradualità”, quella in cui ACN ha adottato un atteggiamento di supporto e accompagnamento, si sta esaurendo. Il focus delle autorità non sarà più soltanto orientato alla sensibilizzazione, ma alla capacità concreta delle organizzazioni di dimostrare il proprio livello di conformità: governance, procedure, controlli, gestione degli incidenti, sicurezza della supply chain, tracciabilità delle decisioni e accountability del management.

Il dato più critico: un management ancora assente

Tra gli elementi più problematici emersi nelle prime analisi applicative della NIS2 in Italia ve n’è uno di natura strutturale: in un’organizzazione su tre, il management non è coinvolto nel processo di cybersecurity. La sicurezza informatica è ancora delegata interamente alla funzione IT, senza alcun meccanismo di supervisione, approvazione o responsabilizzazione dell’organo di vertice.

Questo non è solo un problema organizzativo. È un problema di conformità diretta con la Direttiva, che all’articolo 20 impone esplicitamente che i vertici aziendali approvino le misure di gestione del rischio, le supervisionino e ne rispondano in caso di violazione. L’assenza del management dalla “stanza della cybersecurity” non rappresenta più soltanto una debolezza organizzativa. Sta diventando, progressivamente, un indice di non conformità regolatoria e di esposizione personale per gli organi di vertice.

Il quadro giuridico

Il punto che la maggior parte dei top manager non ha ancora recepito riguarda la natura della responsabilità introdotta dalla NIS2. Non si tratta di una sanzione amministrativa che cade sull’azienda come entità giuridica. Si tratta di una responsabilità che risale fino all’organo apicale.

L’articolo 23 del D.Lgs. 138/2024 è esplicito: gli organi di amministrazione e direttivi approvano le misure di gestione del rischio, sovrintendono alla loro implementazione e sono responsabili delle violazioni commesse dal soggetto che rappresentano. La delega operativa è consentita, la FAQ ODA.8 di ACN lo conferma, ma la responsabilità rimane in capo all’organo apicale e non è trasferibile con essa.

Vale la pena chiarire chi ricade concretamente in questa categoria. Secondo le indicazioni fornite da ACN, per “organi di amministrazione e direttivi” si intendono i componenti del Consiglio di amministrazione e il rappresentante legale. Non rientrano in questa definizione, salvo che non siano contestualmente membri del CdA, figure come il CISO, il punto di contatto NIS o altri dirigenti tecnici. La responsabilità nominata dalla norma è quella di chi detiene il potere decisionale sull’organizzazione, non di chi esegue.

Un ulteriore elemento spesso sottovalutato riguarda la qualità dell’approvazione richiesta. Il decreto non si accontenta di una ratifica formale di quanto predisposto dalla funzione tecnica: l’approvazione delle misure di cybersecurity deve riflettere una reale comprensione e valutazione delle scelte strategiche. Un verbale che recepisca acriticamente la proposta del team IT non soddisfa il requisito normativo e, in caso di ispezione, questa distinzione emerge con chiarezza.

Sul piano della responsabilità, il perimetro è più ampio di quanto la sola lettura del D.Lgs. 138/2024 suggerisca. Accanto alle sanzioni amministrative, l’inadempimento degli obblighi previsti dall’art. 23, mancata approvazione delle misure, omessa supervisione, assenza di formazione, si inserisce nel più ampio dovere di diligente amministrazione che grava sui membri del CdA ai sensi degli articoli 2392 e seguenti del Codice civile. Questo significa che le conseguenze possono estendersi sul piano della responsabilità civile verso la società e verso i terzi danneggiati, indipendentemente dalle sanzioni amministrative comminate da ACN[4].

In caso di inottemperanza alla diffida dell’ACN, l’articolo 38 del decreto prevede una sanzione accessoria di particolare severità: la sospensione temporanea dalla capacità di svolgere funzioni dirigenziali all’interno dell’organizzazione sanzionata. La misura si applica ai responsabili sia dei soggetti essenziali che dei soggetti importanti, e rimane operativa fino a quando l’organizzazione non adotta le misure correttive richieste.

Il modello sanzionatorio[5]

Per capire la scala: un’azienda con 500 milioni di fatturato mondiale classificata come soggetto essenziale rischia sanzioni fino a 10 milioni di euro per singola violazione. Non è più una “ammenda tecnica”. È un evento che incide sul conto economico, sull’EBITDA, sulle valutazioni degli analisti e, se l’azienda è quotata, sul prezzo del titolo.

Va precisato che la responsabilità introdotta dal decreto italiano è di natura amministrativa, non penale. Questo non ne riduce la portata pratica: le sanzioni pecuniarie sono parametrate al fatturato globale, la sospensione dalle funzioni dirigenziali è una conseguenza concreta e documentata, e il piano della responsabilità civile rimane aperto in parallelo, tuttavia è una distinzione giuridicamente rilevante che ogni amministratore dovrebbe conoscere prima di doverne rispondere davanti a un ispettore.

La mappa del perimetro: chi è dentro e chi si illude di essere fuori

Diciotto settori. Il D.Lgs. 138/2024 ha ampliato il perimetro della precedente normativa portando a 18 i settori soggetti agli obblighi NIS: 11 altamente critici e 7 critici, coinvolgendo oltre 80 tipologie di soggetti pubblici e privati, incluse numerose pubbliche amministrazioni[6].

• Allegato I – Settori ad alta criticità (soggetti essenziali o importanti): Energia · Trasporti · Banche · Infrastrutture dei mercati finanziari · Sanità · Acqua potabile · Acque reflue · Infrastrutture digitali · Gestione dei servizi ICT B2B · Pubblica Amministrazione · Spazio
• Allegato II – Altri settori critici (soggetti importanti): Servizi postali e di corriere · Gestione rifiuti · Produzione e distribuzione chimica · Produzione, trasformazione e distribuzione alimentare · Fabbricazione (manifatturiero) · Fornitori di servizi digitali · Ricerca

La soglia dimensionale per l’inclusione diretta segue i criteri della Raccomandazione europea 2003/361/CE: grandi imprese (più di 250 dipendenti, oppure fatturato superiore a 50 milioni di euro, oppure totale di bilancio superiore a 43 milioni di euro) tendono a essere soggetti essenziali se operano in settori Allegato I. Medie imprese (più di 50 dipendenti o fatturato superiore a 10 milioni di euro) sono soggetti importanti se operano nei settori degli Allegati I o II.

Esistono tuttavia categorie di soggetti inclusi indipendentemente dalle dimensioni: fornitori di reti pubbliche di comunicazione elettronica, prestatori di servizi fiduciari qualificati, gestori di registri dei nomi di dominio di primo livello, tutte le pubbliche amministrazioni centrali elencate nell’Allegato III. Inoltre, l’ACN può identificare ulteriori soggetti critici qualora la perturbazione del loro servizio potrebbe avere un impatto significativo sulla sicurezza pubblica o un rischio sistemico per settori dipendenti.

Il cavallo di Troia della supply chain

Questo è forse il meccanismo meno compreso, e più pericoloso, dell’intera architettura NIS2. Un fornitore che non rientra nei parametri dimensionali del decreto, e che quindi non ha obblighi diretti verso l’ACN, può trovarsi a dover rispettare standard di cybersecurity elevati semplicemente perché è fornitore critico di un soggetto NIS2. Il soggetto NIS2 è obbligato a valutare e gestire i rischi nella propria catena di approvvigionamento: imporre contrattualmente ai propri fornitori livelli minimi di maturità cyber, verificarne la postura di sicurezza e poterli escludere dalla filiera qualora non soddisfino i requisiti.

La Determinazione ACN del 13 aprile 2026 ha formalizzato la nozione di “fornitore rilevante NIS”: chi è classificato in questa categoria dovrà dimostrare la propria maturità cyber per continuare a operare nella filiera. In pratica, nelle gare B2B con clienti che sono soggetti NIS2, la conformità non è più un elemento differenziante opzionale: è un prerequisito di accesso. Chi può dimostrarlo con evidenze documentate vince; chi non può, è fuori. Il White Paper ECSO del 2025 identifica esplicitamente questo meccanismo come uno dei vettori di impatto più significativi sulle PMI: organizzazioni fuori dallo scope diretto della normativa, ma esposte a pressioni normative indirette crescenti attraverso le relazioni commerciali con i soggetti inclusi.

I nuovi obblighi operativi: cosa cambia concretamente

Uno degli aspetti più dirompenti della NIS2 riguarda la gestione degli incidenti.

L’orologio della crisi: 24 ore per capire, 72 per rispondere

L’art. 25 del D.Lgs. 138/2024 introduce un obbligo di notifica con una tempistica che non ammette improvvisazione. Il meccanismo si attiva sugli incidenti significativi, una categoria definita con criteri precisi dalla Determinazione ACN n. 164179/2025, e la causa dell’incidente è irrilevante: che si tratti di un attacco ransomware, di un errore umano o di un guasto tecnico, se l’impatto è significativo l’orologio parte.

• Entro 24 ore dall’identificazione: avviso preliminare al CSIRT Italia, con prime ipotesi sulla natura dell’evento e sull’eventuale origine malevola.
• Entro 72 ore: rapporto completo con valutazione dell’incidente, gravità, impatto stimato e indicatori di compromissione.
• Entro un mese: rapporto finale con analisi delle cause, misure adottate e lezioni apprese. Per gli incidenti ancora in gestione, aggiornamenti mensili di progressione.

Per chi non ha mai gestito un incidente informatico grave, questi numeri possono sembrare ragionevoli. Non lo sono. Un attacco ransomware ben costruito, il tipo di incidente più comune oggi in Italia, può richiedere giorni solo per comprendere l’entità della compromissione: quali sistemi sono stati colpiti, quali dati esfiltrati, da dove è entrato l’attaccante. Rispettare questi tempi senza un processo predefinito, senza un team di risposta strutturato, senza una catena di comando e un piano di comunicazione pronti, è materialmente impossibile. E la mancata notifica nei tempi previsti costituisce una violazione autonoma, aggiuntiva rispetto all’incidente stesso[7].

La formazione del vertice: non è un optional

L’art. 20 della Direttiva NIS2, recepito nell’ordinamento italiano dall’art. 23 del D.Lgs. 138/2024, è esplicito: i vertici aziendali devono seguire formazione specifica in materia di cybersecurity. Non per diventare esperti tecnici, ma per essere in grado di approvare in modo informato le politiche di gestione del rischio, supervisionare l’implementazione delle misure adottate, comprendere e valutare i report sugli incidenti, e rispondere in modo credibile alle domande degli ispettori e degli stakeholder. Questa formazione non è delegabile al CISO. Deve coinvolgere l’organo apicale nella sua composizione, CdA e rappresentante legale, secondo le indicazioni ACN. E la sua assenza è, in caso di ispezione, una violazione autonoma di per sé.

Il perimetro degli obblighi tecnici

L’art. 24, comma 2 del D.Lgs. 138/2024 identifica dieci ambiti di misure obbligatorie, con un approccio multi-rischio proporzionale al profilo di esposizione specifico. Non esiste un catalogo uniforme applicabile indipendentemente dalle dimensioni e dal settore: il principio di proporzionalità impone che ciascun obbligo sia calibrato sul rischio effettivo.

Quella che segue non è una checklist tecnica, ma contiene alcune delle principali domande a cui un AD deve essere in grado di rispondere

• Sa quali sono i vostri asset critici e quali rischi gravano su di essi? – Analisi dei rischi e politiche di sicurezza.
• Chi chiama chi se viene scoperta una compromissione alle 3 di notte? – Gestione degli incidenti.
• In quanto tempo si ritorna operativi dopo un attacco? Esistono backup testati e un piano di ripristino? – Continuità operativa e disaster recovery.
• Il livello di sicurezza dei fornitori critici è stato verificato? – Sicurezza della catena di approvvigionamento.
• I nuovi sistemi vengono valutati anche per il loro profilo di sicurezza? – Sicurezza nell’acquisizione, sviluppo e manutenzione.
• Come sapere se quello che è stato implementato funziona davvero? –  Valutazione dell’efficacia delle misure.
• I dipendenti sanno riconoscere un tentativo di phishing? –  Igiene informatica di base e formazione.
• I dati sensibili sono cifrati sia a riposo che in transito? – Politiche di crittografia.
• Chi ha accesso a cosa, e perché? –  Sicurezza delle risorse umane e controllo degli accessi.
• L’autenticazione a singolo fattore è ancora in uso nei sistemi critici? – Autenticazione a più fattori e comunicazioni sicure.

Il paradosso della visibilità

“L’aumento degli incidenti registrati da ACN non racconta un peggioramento della sicurezza, ma qualcosa di molto più scomodo: finalmente li stiamo vedendo.” — Sandro Sana, Ethical Hacker, membro del Comitato Scientifico di Cyber 4.0

Marzo 2026. L’Operational Summary dell’ACN registra 436 eventi cyber — sostanzialmente stabili rispetto ai 435 di febbraio — ma 313 incidenti classificati ad impatto confermato, con un aumento dell‘81% sul mese precedente. Letto superficialmente, il dato sembra allarmante. In realtà racconta qualcosa di molto più interessante e di molto più utile per chi governa un’organizzazione[8].

L’ACN stessa è esplicita nella sua interpretazione: l’incremento è attribuibile a due fattori combinati. Il primo, strutturale, è la piena operatività degli obblighi di notifica NIS2, che ha ampliato la platea dei soggetti tenuti a segnalare e ha trasformato in dati ufficiali incidenti che prima restavano gestiti internamente, minimizzati, o semplicemente non riconosciuti come tali. Il secondo, congiunturale, è un singolo incidente che ha colpito un fornitore di servizi digitali, generando disservizi a cascata soprattutto nei settori delle telecomunicazioni e della sanità. Entrambi i fattori vanno tenuti distinti nella lettura del dato.

Questo ha una doppia implicazione diretta per chi siede in un CDA. La prima è scomoda: il livello reale di esposizione cyber delle organizzazioni italiane era molto più elevato di quanto le statistiche precedenti suggerissero. Gli attacchi c’erano. Semplicemente non venivano contati, o perché non venivano rilevati, o perché venivano gestiti in silenzio. La soglia della tolleranza al rischio era calibrata su dati parziali. La seconda è strategica: chi ha già costruito processi seri di rilevamento, classificazione e notifica ha oggi una visibilità sui propri rischi che prima non aveva. Questa visibilità non è un costo normativo. È la materia prima di qualsiasi decisione

Le trappole cognitive del management italiano: quattro errori che valgono milioni

Errore 1: “Siamo troppo piccoli per essere interessanti”

Sbagliato su due fronti, e i dati lo dimostrano. Il primo: la soglia di 50 dipendenti o 10 milioni di fatturato include una fascia vastissima del tessuto produttivo italiano. Chi si trova sotto questa soglia non è necessariamente fuori pericolo, perché il meccanismo della supply chain trascina dentro la normativa anche i fornitori critici di soggetti NIS2, indipendentemente dalle dimensioni.

Il secondo fronte è più diretto: i cybercriminali non scelgono le vittime in base al fatturato, ma in base alla vulnerabilità. Il Rapporto Clusit 2025 lo certifica: il 43% degli attacchi informatici colpisce PMI, che rappresentano il bersaglio più redditizio perché combinano risorse interessanti, dati, accessi a clienti grandi, produzione, con difese strutturalmente più deboli. Le PMI italiane spendono in media 1.200 euro l’anno in cybersecurity contro i 50.000 delle grandi imprese, ma subiscono danni dieci volte superiori in proporzione[9].

Il ransomware rimane la variante di malware più redditizia sul mercato del cybercrime. La sua logica operativa è semplice: cifra i file, blocca la produzione, chiede il riscatto. Non distingue tra grandi e piccoli. La dimensione dell’azienda non è una variabile nel suo algoritmo di selezione.

Errore 2: “Abbiamo già il GDPR, siamo a posto”

I due framework condividono parte del vocabolario, risk assessment, politiche di sicurezza, gestione degli incidenti, ma hanno ambiti, autorità competenti e obblighi distinti. Il GDPR, vigilato dal Garante per la Privacy, riguarda la protezione dei dati personali. La NIS2, vigilata dall’ACN, riguarda la sicurezza e la continuità dei sistemi e delle reti informative nel loro complesso, indipendentemente dal fatto che trattino dati personali. Una violazione NIS2 può non comportare alcun problema GDPR, e viceversa.

Chi ha costruito una governance seria del GDPR non parte da zero: la cultura del rischio, le politiche di sicurezza, i processi di gestione degli incidenti sono infrastrutture procedurali che si trasferiscono in parte. Il punto di partenza è migliore. Ma il percorso da fare resta e ignorarlo perché “il GDPR è già fatto” è una delle forme più comuni di falsa compliance.

Errore 3: “Aspettiamo che si chiarisca il quadro normativo”

Il quadro si è chiarito. Il D.Lgs. 138/2024 è in vigore dal 16 ottobre 2024. La Determinazione ACN n. 164179/2025 ha definito le misure di base. Le notifiche di inclusione nell’elenco NIS sono partite ad aprile 2025. L’obbligo di notifica degli incidenti è operativo da gennaio 2026. Chi sta aspettando chiarimenti sta aspettando qualcosa che è già arrivato e, nel frattempo, accumula ritardo documentato, che in caso di ispezione diventa la prima evidenza a carico.

La finestra di costruzione ordinata della compliance si sta chiudendo. Quella che si apre è la fase delle verifiche.

Errore 4: “La compliance NIS2 è un progetto IT”

Questa è la distorsione cognitiva più costosa, perché produce conseguenze organizzative immediate e tutte nella direzione sbagliata: il budget viene assegnato alla funzione IT (spesso insufficiente per la portata del programma), la responsabilità viene delegata a chi non ha potere decisionale sull’organizzazione, e il rischio rimane in capo al vertice aziendale che non sa esattamente a che punto sia il lavoro.

La NIS2 è un programma di governance del rischio. Lo dice esplicitamente l’articolo 23 del D.Lgs. 138/2024: l’obbligo di approvazione delle misure e di supervisione della loro implementazione ricade sull’organo di amministrazione, non sulla funzione tecnica. Il percorso di compliance inizia con una delibera del CDA, richiede un budget approvato dal CFO, coinvolge il COO per la continuità operativa, il responsabile legale per gli aspetti di responsabilità e contrattualistica con i fornitori, il responsabile HR per la formazione obbligatoria, e, sì, anche il CISO o il CTO per l’implementazione tecnica. Non è un progetto con una data di fine. È un cambiamento di assetto organizzativo permanente.

Il vantaggio competitivo: la compliance come segnale di credibilità

Il mercato sta iniziando a prezzare la maturità cyber delle organizzazioni. Non è ancora uniforme, ma i segnali sono documentati e in accelerazione su almeno due fronti distinti.

Il primo è la supply chain commerciale. I soggetti NIS2, incluse tutte le pubbliche amministrazioni e le grandi aziende nei settori critici, hanno l’obbligo normativo di inserire requisiti minimi di sicurezza nei capitolati di gara e nei contratti con i fornitori critici. La Determinazione ACN del 13 aprile 2026 ha formalizzato la nozione di “fornitore rilevante NIS”. Nelle gare B2B con clienti che sono soggetti NIS2, la conformità non è più un elemento differenziante opzionale: è un prerequisito di accesso. Chi può dimostrarlo con evidenze documentate vince; chi non può, è fuori[10].

Il secondo fronte è quello delle transazioni. Il report Kroll del febbraio 2026, condotto su 325 fondi di private equity globali, documenta che l‘81% dei fondi di grandi dimensioni include la cybersecurity come componente standard del processo di due diligence. Il costo medio di un incidente cyber durante il periodo di detenzione di un’azienda in portafoglio è 2,1 milioni di dollari — solo come costo diretto, senza contare ritardi nelle operazioni di exit e gap di governance post-incidente. Una posizione di conformità NIS2 documentata è già oggi un asset valutabile in una trattativa di acquisizione. Una con vulnerabilità note e governance assente è un problema che l’acquirente prezza nel ribasso o che blocca del tutto l’operazione[11].

Il terzo fronte, quello bancario, è ancora in fase embrionale in Italia. Esistono segnali in alcuni mercati anglosassoni di istituti che iniziano a includere il profilo di rischio operativo cyber nelle valutazioni del credito, ma non è ancora una prassi documentata e sistematica nel mercato italiano. La direzione è chiara, ma citarla come dato acquisito sarebbe prematuro.

Una roadmap realistica: le quattro fasi di un approccio serio

Quello che segue non è un piano tecnico. È la sequenza di decisioni strategiche che un AD deve prendere per portare l’organizzazione in uno stato di compliance funzionale, non solo formale. Il punto di arrivo non è superare un’ispezione: è essere in grado di rispondere alle domande del giorno dopo, prima che si presentino.

Fase 1 — Capire la propria posizione (settimane 1-4)

Il primo atto è un’analisi di perimetro: l’organizzazione rientra nel perimetro NIS2, e con quale classificazione? Quali sono i servizi e i processi critici da proteggere? Quali fornitori rappresentano un rischio per la continuità operativa e rientrano nella definizione di “fornitore rilevante NIS” introdotta dalla Determinazione ACN del 13 aprile 2026? Questa analisi non richiede mesi. Richiede competenza e focus. Il suo output è una mappa del rischio di governance: dove si è esposti, dove no, e quanto tempo manca alle scadenze che riguardano la specifica organizzazione.

Fase 2 — Decidere la governance (settimane 4-8)

Il secondo atto non è nominare “il responsabile IT della NIS2”. È aprire un programma di trasformazione della governance del rischio con un owner che risponde direttamente al vertice, un mandato formale approvato dal CDA e un budget reale. La sessione del consiglio di amministrazione in cui si approva la strategia di adeguamento è documentabile: è la prima e più immediata prova di conformità all’articolo 23 del D.Lgs. 138/2024, quello che attribuisce all’organo apicale la responsabilità diretta. Un verbale ben redatto in questa fase vale più di mesi di lavoro tecnico successivo.

Fase 3 — Costruire le fondamenta operative (mesi 3-12)

Le misure da implementare per prime sono quelle classificate come prioritarie dalla Determinazione ACN n. 164179/2025: il piano di risposta agli incidenti e il processo di notifica al CSIRT Italia, le politiche di sicurezza, l’autenticazione a più fattori sui sistemi critici, il backup testato e offline, la valutazione dei fornitori critici, la formazione obbligatoria per il management e per i dipendenti. Non è necessario fare tutto simultaneamente. È necessario procedere in ordine di priorità normativa e di rischio effettivo, con un piano documentato che mostri progressione verificabile. La documentazione non è burocrazia: è la prova che l’organo apicale ha esercitato la supervisione che la legge richiede.

Fase 4 — Testare, misurare, migliorare (continuativa)

Simulare un incidente almeno una volta l’anno. Non una riunione teorica: un esercizio di crisis management che testa la catena di comando, i tempi di notifica, la comunicazione interna ed esterna, la capacità di ripristino. Si scopre sempre qualcosa che non funziona. È infinitamente meno costoso scoprirlo in una simulazione controllata. Aggiornare la valutazione del rischio ogni volta che cambiano i sistemi, i fornitori o il perimetro operativo. La NIS2 non è un traguardo da raggiungere: è un assetto da mantenere.

Il test del “Day After”

C’è un esercizio mentale semplice che vale la pena fare adesso, in condizioni normali: supponiamo che domani mattina, alle 7:00, un dipendente scopra che i sistemi produttivi sono cifrati. I file sono inaccessibili. Compare una richiesta di riscatto.

• Sa chi chiamare entro i primi trenta minuti?
• Sa chi ha l’autorità di decidere se e quanto pagare?
• Sa che ha 24 ore per notificare il CSIRT Italia, pena una violazione aggiuntiva e autonoma rispetto all’incidente stesso?
• Sa cosa dire ai clienti, ai fornitori, alla stampa — e chi lo dice?
• Sa se esiste un backup recente, testato, e in quanto tempo è possibile ripristinare?
• Sa quanto dura, nel caso peggiore, il blocco operativo — e quanto vale in mancati ricavi?

Se non si sa rispondere a queste domande adesso, molto difficilmente sarà possibile farlo in mezzo alla crisi. I processi di risposta agli incidenti non si improvvisano sotto stress: si costruiscono in tempo di pace, si testano con simulazioni, si aggiornano quando cambiano i sistemi. La crisi, statisticamente, è questione di quando, non di se.

Quanto costa e quanto costa non farlo

La domanda sul costo è legittima. La risposta onesta è: dipende dalla dimensione, dalla complessità e dallo stato di partenza. In entrambi i casi, la domanda giusta non è “quanto costa mettersi in regola”. È “quanto costa un incidente grave?”

I dati disponibili sono precisi e recenti. Il Cost of a Data Breach Report 2025 di IBM e Ponemon Institute, condotto su oltre 600 organizzazioni in 16 paesi, indica che il costo medio di una violazione dei dati in Italia si attesta a 3,31 milioni di euro, in calo rispetto ai 4,37 milioni del 2024 grazie alla maggiore maturità nei processi di rilevazione, ma comunque nell’ordine di grandezza che rende qualsiasi investimento preventivo ragionevole per confronto. Per le aziende del settore industriale, il costo medio 2024 superava i 5 milioni di euro per singolo incidente[12].

Sul fronte ransomware, i dati del report Sophos State of Ransomware 2025[13] raccontano uno scenario ben più pesante di quanto la percezione comune suggerisca: la mediana delle richieste di riscatto alle aziende italiane ha raggiunto 4,12 milioni di dollari, con una mediana degli importi effettivamente pagati di 2,06 milioni, il doppio della media globale. I costi di ripristino, escluso il riscatto, hanno superato in media i 3,5 milioni di dollari nel 2024. E pagare non garantisce il risultato: solo il 61% di chi paga recupera integralmente i propri dati.

L’investimento in cybersecurity e compliance, valutato in questi termini, non è un costo. È l’unica assicurazione sul business che ha anche un rendimento normativo.

Conclusioni

L’Italia è tra i quattro paesi europei che hanno recepito la NIS2 entro scadenza. L’ACN ha i poteri, li sta usando, e la transizione dalla “fase di accompagnamento” alla fase di verifica formale ha una data precisa: 31 ottobre 2026. È quanto fissa l’art. 4 della Determinazione ACN n. 379907/2025, il termine ultimo per la piena operatività delle misure di sicurezza di base, oltre il quale l’Agenzia può avviare le attività ispettive. I soggetti essenziali saranno sottoposti a vigilanza proattiva; i soggetti importanti principalmente a verifiche a seguito di incidenti o segnalazioni. Le prime sanzioni significative potrebbero manifestarsi tra la fine del 2026 e l’inizio del 2027[14].

Chi è tentato di interpretare la gradualità come un segnale che nulla accadrà davvero dovrebbe guardare a quello che è successo in Germania. Il 6 marzo 2026, termine ultimo per la registrazione obbligatoria al BSI, solo il 38,5% dei soggetti obbligati aveva adempiuto: oltre 18.000 organizzazioni su 29.850 hanno mancato la prima scadenza sostanziale dell’intero regime. Il BSI ha risposto annunciando il passaggio formale alla fase di enforcement attivo, con ispezioni in loco e ordini vincolanti per i soggetti non registrati. I controlli non iniziano dalla prima sanzione. Iniziano dal giorno in cui l’autorità notifica l’inclusione nel perimetro[15].

In Italia, Milena Rizzi di ACN, intervenuta al Convegno Clusit di dicembre 2025, è stata diretta: “Mi auguro che i soggetti che si sono registrati l’anno scorso non aspettino la scadenza del termine” per il rinnovo 2026. Il picco di registrazioni a ridosso della scadenza di febbraio 2025, con la piattaforma ACN sovraccarica e una finestra aggiuntiva necessaria per completare le operazioni, non è un precedente incoraggiante. Chi replica quello schema sulle scadenze di ottobre 2026 non arriverà tardi a un appuntamento burocratico. Arriverà tardi a costruire evidenze documentate di compliance, e quelle si accumulano in mesi, non in settimane.

Il vantaggio del primo movimento esiste ancora, ma si sta chiudendo. Chi inizia adesso ha tempo di costruire una compliance ordinata, documentata, difendibile davanti agli ispettori. Chi aspetta sarà costretto a farlo in emergenza o direttamente sotto ispezione, con la documentazione che manca e il tempo che non c’è.

C’è però una domanda più semplice e più importante che ogni AD dovrebbe sedersi a rispondere da solo, senza consulenti in sala: se domani mattina i sistemi fossero compromessi, la mia organizzazione sopravviverebbe? Non “passeremmo l’ispezione dell’ACN”. Non “saremmo tecnicamente conformi”. Sopravviveremmo. I clienti continuerebbero a ricevere i loro ordini. I dipendenti potrebbero lavorare. Il mercato manterrebbe la fiducia. Potrei guardare negli occhi il mio consiglio di amministrazione e dimostrare di aver fatto quello che dovevo fare, quando dovevo farlo.

La risposta a questa domanda non è responsabilità del vertice IT.

È responsabilità sua.

Note

[1] Check Point Research, Global Threat Intelligence Report — gennaio 2026.

Vedi anche: https://www.datamanager.it/2026/02/check-point-research-rileva-in-italia-nel-mese-di-gennaio-2-403-attacchi-informatici-a-settimana/

[2] Commissione Europea, EUR-Lex, COM(2017)476 — digital-strategy.ec.europa.eu

[3] Fonti: https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-10-04;138, https://digital-strategy.ec.europa.eu/it/news/commission-calls-23-member-states-fully-transpose-nis2-directive, https://www.acn.gov.it/portale/nis/obblighi, https://www.acn.gov.it/portale/w/nis-avviata-la-seconda-fase,

https://www.acn.gov.it/portale/nis/obblighi, https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base

[4] Per approfondimenti: Avv. Giuseppe Vitrani, “Il ruolo dei CdA nella gestione del rischio cyber alla luce della Direttiva NIS2”, TeamSystem Magazine, novembre 2025 — teamsystem.com/magazine/legal/ruolo-consigli-amministrazione-gestione-rischio-cyber-direttiva-nis2/

[5] Crf: la Direttiva (UE) 2022/2555; il Decreto Legislativo 4 settembre 2024 n. 138; gli atti e le determinazioni dell’Agenzia per la Cybersicurezza Nazionale.

In particolare: l’art. 34 della Direttiva NIS2 disciplina le misure di vigilanza e di esecuzione; l’art. 35 regola le sanzioni amministrative; gli artt. 37 e 38 del D.Lgs. 138/2024 disciplinano rispettivamente poteri ispettivi e regime sanzionatorio italiano. Il dato centrale emerge dall’art. 38 del decreto italiano: per i soggetti essenziali sono previste sanzioni fino a 10 milioni di euro oppure fino al 2% del fatturato mondiale annuo; per i soggetti importanti fino a 7 milioni di euro oppure fino all’1,4% del fatturato mondiale annuo.

[6] Fonti: ACN – Normativa NIS https://www.acn.gov.it/portale/nis/la-normativa · D.Lgs. 138/2024, Allegati I–IV https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-10-04;138 · ECSO White Paper NIS2 Implementation 2025 https://ecs-org.eu/?publications=white-paper-nis2-implementation-challenges-and-priorities

[7] D.Lgs. 138/2024, artt. 23–25 · Determinazione ACN n. 164179/2025 acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base

Networklex — networklex.it/post/notifica-incidenti-informatici-nis2-obblighi-2026/

[8] ACN — Operational Summary marzo 2026 (https://www.acn.gov.it/portale/w/operational-summary-acn-marzo-2026-nis2-aumenta-la-visibilita-degli-incidenti-cyber) · Report PDF integrale: https://www.acn.gov.it/portale/documents/d/guest/operational_summary_mar26_clear

[9] Rapporto Clusit 2025 — clusit.it/rapporto-clusit/

Cyber Security 360 cybersecurity360.it/nuove-minacce/cybersecurity-2025-rapporto-clusit-dati-tendenze/

LCA Studio Legale (GDPR vs NIS2)

lcalex.it/direttiva-nis-2-e-d-lgs-138-2024-obblighi-in-materia-di-cybersicurezza-e-profili-di-compliance/

[10] CyberTrust365 — cybertrust365.com/it/sicurezza-supply-chain-nis2/ · AssoDPO — assodpo.it/2025/11/26/La-Direttiva-NIS2-Pubblica-Amministrazione-gestire-Sicurezza-nel-Procurement-ICT/

[11] Kroll — kroll.com/en/newsroom/private-equity-cybersecurity-significant-risk-financial-impact · QBE North America — qbe.com/us/newsroom/press-releases/qbe-north-america-whitepaper-unveils-cyber-risks-facing-private-equity-firms-and-portfolio-companies

[12] IBM / Ponemon Cost of a Data Breach Report 2025 — it.newsroom.ibm.com/costofadatabreach2024

inno3.it/2025/08/25/report-ibm-costo-data-breach-e-scenario-italiano/

[13] Sophos State of Ransomware 2025 — agendadigitale.eu/cultura-digitale/ransomware-perche-le-aziende-italiane-pagano-di-piu/ · cybersecurity360.it/news/state-of-ransomware-italia-2025-sophos-ecco-cifre-che-pagano-aziende-italiane/

[14] ICT Security Magazine — ictsecuritymagazine.com/notizie/nis2-adempimenti/

ICT Security Magazine — ictsecuritymagazine.com/notizie/nis2-audit-acn/

Cyber Security 360 — cybersecurity360.it/legal/nis2-cose-quali-aziende-interessa-obblighi-e-sanzioni/

[15] ICT Security Magazine — ictsecuritymagazine.com/articoli/nis2-enforcement-q1-2026/