Nis2: la cybersecurity non è più solo compito dell'It, la responsabilità è dei vertici

La cybersecurity non è più un argomento da rimandare o da affidare soltanto al reparto IT. Con l'entrata in vigore della direttiva Nis2, l'Unione Europea ha voluto segnare un cambio di passo netto: la protezione dai rischi informatici diventa una responsabilità concreta delle aziende e dei loro vertici, chiamati a rispondere in prima persona della capacità di prevenire, gestire e contenere gli incidenti digitali. Il contesto in cui si applica questa normativa è chiaro. Negli ultimi anni gli attacchi informatici sono cresciuti in modo esponenziale e hanno colpito imprese, enti pubblici e organizzazioni di ogni dimensione. Ransomware, furti di dati, blocchi produttivi e richieste di riscatto non sono più scenari teorici, ma rischi quotidiani che possono mettere in difficoltà intere filiere, interrompere servizi essenziali e compromettere la fiducia di clienti e partner.

La Nis2 nasce proprio per rafforzare la resilienza digitale del sistema economico europeo. L'obiettivo è proteggere infrastrutture strategiche, servizi essenziali e attività produttive, imponendo alle società ed enti pubblici un approccio più strutturato e consapevole alla sicurezza informatica. Non basta avere un antivirus o un sistema di difesa aggiornato, bisogna dimostrare di aver costruito un modello di prevenzione e gestione del rischio. La normativa non coinvolge soltanto le grandi imprese. L'applicabilità dipende soprattutto dal settore di attività e dalla rilevanza dei servizi erogati. Energia, trasporti, sanità, pubbliche amministrazioni, telecomunicazioni, cloud, data center, manifattura strategica, servizi digitali, infrastrutture critiche e filiere alimentari sono tra i comparti interessati. In alcuni casi possono rientrare anche realtà di dimensioni minori, se inserite in catene di fornitura sensibili o se svolgono funzioni considerate strategiche. Questo significa che nessuna azienda dovrebbe escludersi a priori. La valutazione va fatta con attenzione, perché il perimetro della Nis2 può essere più ampio di quanto sembri. Ed è proprio qui che molte imprese scoprono di dover ripensare procedure, ruoli e priorità. Sul piano operativo, la direttiva chiede un salto di qualità.