L’ecosistema digitale italiano si trova oggi di fronte a uno spartiacque normativo e operativo senza precedenti. Con il consolidamento della NIS2, la protezione delle infrastrutture critiche e delle imprese non è più una questione confinata ai dipartimenti tecnici, ma è diventata una priorità di governance che coinvolge direttamente i vertici aziendali.Durante il recente Security Summit Milano 2026, organizzato da Clusit, i principali esperti del settore si sono riuniti per analizzare lo stato dell’arte della sicurezza nazionale, evidenziando come la conformità normativa stia forzando una trasformazione radicale nel modo in cui le organizzazioni percepiscono e gestiscono il rischio informatico.Indice degli argomenti
Il mercato italiano davanti allo scoglio della NIS2La responsabilità dei vertici e i 116 requisiti normativiLa situazione critica nelle ASL e nella Pubblica AmministrazioneIl “nanismo” industriale e la sfida dei sistemi OTTrasformazione aziendale e gestione della supply chainIl rapporto con l’Agenzia per la Cybersicurezza NazionaleLa sicurezza come tutela della collettivitàIl mercato italiano davanti allo scoglio della NIS2A un anno dall’avvio dei processi di adeguamento, i numeri delineano un quadro complesso. Secondo quanto emerso dal confronto tra gli esperti, sono circa 28.000 le aziende soggette alla NIS2 nel territorio nazionale.Tuttavia, la percezione del mercato non appare uniforme. Alessandro Vallega, Founding Partner e COO di Resilience nonché Professore presso l’Università degli Studi di Milano, ha evidenziato una spaccatura netta nell’approccio delle imprese: da un lato una minoranza che punta al mero adempimento formale per evitare sanzioni, dall’altro un gruppo più consapevole che interpreta la conformità come una leva per migliorare i processi interni.«È un film già visto con il GDPR: allora dicevamo di sfruttare l’attenzione del top management attirata dalle multe; oggi, con le responsabilità personali previste per i vertici, abbiamo una chiave di lettura in più» ha dichiarato Vallega durante la tavola rotonda.Nonostante la comprensione delle misure tecnologiche stia crescendo, permane una difficoltà strutturale nella conduzione di un’analisi del rischio realmente efficace, elemento che lo stesso Vallega definisce ancora carente all’interno della maggior parte delle organizzazioni.La responsabilità dei vertici e i 116 requisiti normativiUno dei pilastri della NIS2 risiede nel coinvolgimento diretto degli organi amministrativi. La norma non si limita a imporre barriere tecnologiche, ma introduce 116 requisiti che attraversano orizzontalmente l’intera struttura organizzativa, toccando la Direzione del Personale, l’Ufficio Acquisti, l’Ufficio Legale e i Sistemi Informativi.Enzo Veiluva, Responsabile della Direzione Cyber Security & Business Continuity di CSI Piemonte, ha sottolineato l’importanza di superare l’isolamento del CISO (Chief Information Security Officer). «Se non si costituisce un team multidisciplinare, l’inerzia sarà forte» ha avvertito Veiluva, spiegando che la documentazione richiesta non deve essere intesa come un peso burocratico, ma come uno strumento per rendere la governance leggibile agli apicali.In quest’ottica, il consiglio operativo è quello di produrre documenti sintetici, idealmente non superiori alle 10 pagine, per garantirne l’effettiva consultazione da parte dei decisori.La situazione critica nelle ASL e nella Pubblica AmministrazioneIl settore pubblico presenta dinamiche eterogenee. Se da un lato le Regioni stanno collaborando efficacemente con l’ACN (Agenzia per la Cybersicurezza Nazionale), dall’altro si riscontrano forti criticità nelle aziende sanitarie locali. In molte ASL, i consigli di amministrazione faticano a comprendere che la NIS2 non è un mero problema tecnologico, lasciando spesso il CISO in una condizione di isolamento decisionale.Secondo Veiluva, è prioritario identificare i Servizi Informatici di Rete rilevanti (SIR), ovvero quei processi che, se bloccati, paralizzerebbero l’attività essenziale, come il Pronto Soccorso, la cartella clinica o i sistemi di storage.«L’analisi del rischio è difficile da far digerire perché manca la cultura della prevenzione» ha aggiunto l’esperto, evidenziando la necessità di pianificare gli investimenti con largo anticipo per evitare di rincorrere l’emergenza con sistemi obsoleti e mancanza di budget.Il “nanismo” industriale e la sfida dei sistemi OTIl tessuto produttivo italiano, caratterizzato da una stragrande maggioranza di piccole e medie imprese, affronta ostacoli specifici legati alla sicurezza dei sistemi industriali (OT – Operational Technology). Mario Testino, Managing Director di Serviteco, ha ricordato che nel settore farmaceutico solo lo 0,1% delle aziende supera i 250 dipendenti, una condizione di “nanismo” che si traduce in una cronica mancanza di risorse e competenze digitali.Il divario tra il mondo IT (Information Technology) e quello OT rimane una delle barriere principali. Spesso l’IT risponde al CFO o alle Risorse Umane, mentre l’OT è sotto la responsabilità delle Operation o dell’Ingegneria. Questa separazione culturale e organizzativa rende difficile l’applicazione di una normativa nata prevalentemente per l’ambito IT a contesti dove l’impatto critico riguarda il fermo della linea di produzione.«L’OT nasce da una storia elettrica e meccanica, non informatica. Pensate allo SCADA o ai PLC: sono nati per sostituire i quadri a relè» ha spiegato Testino, evidenziando come la convergenza tra questi due mondi si scontri ancora oggi con culture ingegneristiche divergenti.Quando l’informatica prova a imporre soluzioni standardizzate, come un firewall in mezzo alla produzione, la risposta del comparto Operations è spesso di rigetto automatico, rendendo necessaria una formazione trasversale.Trasformazione aziendale e gestione della supply chainLa NIS2 non deve essere vista come un semplice elenco di requisiti da spuntare, ma come un catalizzatore di trasformazione aziendale. Luca Bechelli, Head of IT Security Governance di PoliS-Lombardia, ha criticato l’approccio estemporaneo di molte organizzazioni: «Molte organizzazioni si sono lanciate nel fare l’assessment e la “spunta” dei requisiti senza capire come la NIS2 trasformerà l’azienda. Non è un semplice processo di adeguamento, ma di trasformazione».Un ambito particolarmente complesso è la gestione dei fornitori. Non è più sufficiente una classificazione generica; occorre analizzare i rischi specifici che ogni singola fornitura espone all’interno del contesto aziendale.Alessandro Vallega ha citato l’esempio virtuoso di un’azienda che ha integrato una checklist di sicurezza direttamente nel processo di qualificazione su SAP, spingendo anche fornitori distanti dal mondo digitale ad attivare processi di consapevolezza.Questo “effetto trascinamento” sulla filiera produttiva è considerato uno degli impatti più massicci della normativa.Il rapporto con l’Agenzia per la Cybersicurezza NazionaleL’operato dell’ACN riceve un giudizio generalmente positivo da chi ha avuto contatti diretti, specialmente per la gestione dei data breach o le notifiche di incidenti.L’Agenzia è percepita come un ente tecnico e pratico, sebbene per le aziende più distanti dal perimetro normativo appaia ancora come un’entità remota.Tuttavia, emergono preoccupazioni sulla scalabilità della struttura dell’Agenzia a fronte di migliaia di soggetti da monitorare e sulla potenziale frammentazione europea.Vallega ha espresso delusione per il fatto che la NIS2 sia una Direttiva e non un Regolamento, il che crea differenze tra gli Stati membri, mentre Bechelli ha messo in guardia contro il rischio che eventuali semplificazioni o “sconti” normativi possano indurre le aziende italiane a fermarsi in attesa di ulteriori riduzioni.La sicurezza come tutela della collettivitàIl dibattito finale della tavola rotonda ha spostato l’attenzione dal piano aziendale a quello sociale. I dati del Rapporto Clusit confermano un’escalation delle minacce: nel 2025 sono stati registrati 5.265 attacchi gravi, con un aumento del 49% rispetto all’anno precedente. In questo scenario, la NIS2 assume una valenza che va oltre il profitto d’impresa.«Spesso ci dimentichiamo che la NIS2 guarda ai rischi per la società, non solo per l’impresa. Fermare un ospedale ha un impatto sociale enorme, ed è questo che la norma vuole prevenire» ha concluso Luca Bechelli.Il passaggio fondamentale richiesto ai professionisti della sicurezza è l’abbandono della logica puramente tecnica per abbracciare quella della tutela della collettività e degli ecosistemi produttivi nazionali.La sfida della NIS2 si gioca dunque sulla capacità di integrare la protezione informatica nel DNA stesso dell’organizzazione, trasformando un obbligo di legge in un pilastro della resilienza sociale ed economica.
