Nel contesto regolatorio europeo, la direttiva Nis2 impone alle aziende italiane un ripensamento profondo delle strategie di cybersecurity. Non si tratta solo di adempiere a un obbligo normativo, ma di cogliere l’opportunità di integrare la gestione del rischio cyber nella governance aziendale, trasformandola in leva di resilienza e competitività. Eppure, molte organizzazioni continuano a muoversi in modo reattivo e frammentato, sottovalutando l’impatto di scenari digitali sempre più complessi e interconnessi. Comprendere gli errori più comuni, superare un approccio puramente compliance-driven e costruire piani sostenibili è oggi una priorità. Ne parliamo con Massimiliano Colombo, Business Development manager in Cefriel, dove da oltre 20 anni opera in progetti di innovazione con grandi imprese.

Quali sono gli errori più frequenti che le aziende italiane commettono nel primo approccio alla direttiva Nis2 e come possono essere evitati?

L’errore più grave che si può osservare in alcune aziende italiane è proprio l’approccio puramente compliance-driven: vedere la Nis2 esclusivamente come un obbligo normativo da rispettare per evitare sanzioni, anziché comprendere che il rischio cyber è, prima di tutto, un rischio di business.
Questo fraintendimento porta a soluzioni miopi: interventi tampone, investimenti minimi, focus esclusivamente sugli adempimenti formali. Con oltre 20mila organizzazioni coinvolte dalla Nis2 in Italia (di cui 5mila essenziali e 15mila importanti), molte aziende potrebbero limitarsi a “spuntare caselle” senza cogliere l’opportunità strategica.

La realtà è che viviamo in un contesto di crescente complessità: aziende sempre più AI-augmented, ecosistemi digitali interconnessi dove utilizzatori, costruttori di macchine e fornitori di tecnologie si relazionano attraverso canali digitali. Parallelamente, grazie all’intelligenza artificiale, gli attaccanti riducono significativamente il cosiddetto Creativity Fiction Coefficient – in altre parole, diventa più facile progettare attacchi esistenti e crearne di nuovi.

Come evitare questi errori? Il primo passo è un cambio di mentalità: la cybersecurity deve diventare parte integrante del business, non un centro di costo. La complessità normativa europea – Nis2, Cyber Resilience Act, Nuovo Regolamento Macchine, solo per citare alcuni esempi – riflette la complessità del contesto operativo, ma ci indirizza verso le giuste contromisure.
Se, invece, si volesse perseverare nell’errore? Quando il rischio cyber si materializza, genera un effetto a cascata su altri rischi: continuità operativa, reputazione, persino problematiche di accesso al credito. In merito a quest’ultimo punto, infatti, oggi le banche valutano sempre di più quanto è un’azienda è Cyber protetta prima di concedere i finanziamenti; i dati di bilancio economico non sono più sufficienti.

In che modo la compliance a Nis2 può realmente tradursi in un vantaggio competitivo per un’azienda, oltre il mero rispetto normativo?

Anche in relazione a quanto già detto prima, è evidente che la protezione cyber è diventata condizione necessaria per la resilienza aziendale complessiva, non dell’IT.
I dati sono eloquenti e confermano tale presa di posizione: nel 2024 gli attacchi cyber nel mondo sono aumentati del 27%, raggiungendo quota 3.500. L’Italia, pur rappresentando solo l’1% del Pil mondiale, ha subito il 10% degli attacchi globali – ben 350 incidenti. Il settore manifatturiero, pilastro della nostra economia, è particolarmente esposto: 7° bersaglio preferito nel mondo, ma 2° in Italia con il 16% degli attacchi.
Questo scenario evidenzia un gap pericoloso tra digitalizzazione delle aziende e livello di protezione. Può risultare difficile da credere: senza la cybersecurity, la digitalizzazione può aumentare i rischi invece che i benefici.

Il vantaggio competitivo emerge quando, per conformarsi alla Nis2, si abbracciano standard internazionali come la serie Iso 27001 o Iec/Isa 62443, che si basano pienamente  sull’approccio risk-based – come richiesto dalle normative – e permettono, se adottati, il raggiungimento a regime di benefici concreti “di business”:

  • Accesso privilegiato al credito: come detto prima, gli istituti di credito valutano sempre più la cyber-protezione come criterio “first-citizen class” per l’erogazione di finanziamenti.
  • Espansione del perimetro di mercato: conformità robusta significa poter operare in nuovi Stati europei e settori ad alta criticità, dove la cybersecurity è prerequisito d’ingresso.
  • Resilienza normativa futura: implementando best practice che vanno oltre i requisiti cogenti, l’azienda si prepara alle normative previste in uscita nel medio-termine (si pensi, ad esempio, al Nuovo Regolamento Macchine al quale molte aziende del settore industriale dovranno risultare conformi entro il 2027. Tipicamente, le nuove normative si basano su standard già consolidati.
  • Continuità operativa: protezione efficace di dati, asset e persone si traduce in minori interruzioni produttive e maggiore affidabilità verso clienti e partner.
  • Reputazione e fiducia: in un ecosistema sempre più interconnesso, essere riconosciuti come partner cyber-sicuro diventa elemento differenziante nei rapporti commerciali.

Come cambia l’approccio alla sicurezza nei contesti in cui convivono ambienti IT e OT, soprattutto nei settori industriali ad alta criticità?

La convergenza IT/OT rappresenta una delle sfide più complesse della cybersecurity moderna, specialmente nei settori ad alta criticità coinvolti dalla Nis2. Il problema è che questi due mondi hanno storicamente (e giustamente) la necessità di soddisfare requisiti di cybersecurity con diversi livelli di priorità; per questo motivo (purtroppo), spesso non si parlano o si parlano contro.

Massimiliano Colombo, Business Development manager in Cefriel
Massimiliano Colombo, Business Development manager in Cefriel

Più nello specifico, in ambito IT, la cybersecurity richiede il soddisfacimento dei requisiti che ricadono nella “triade classica” Cia (Confidentiality, Integrity, Availability). In ambito OT, invece, il quartetto di riferimento è rappresentato dalle proprietà Caic (Control, Availability, Integrity, Confidentiality), dove il controllo e la disponibilità hanno priorità assoluta. Nis2 richiede un approccio multi-rischio che riguardi tutte le proprietà della sicurezza informatica prima citate (riservatezza, integrità, disponibilità, controllo), rendendo necessaria una strategia di cybersecurity unificata che rispetti le diverse priorità prima indicate. Infatti, quando ci si riferisce nello specifico alla sfera OT, la cybersecurity diventa condizione necessaria – ma non sufficiente – per abilitare la safety; e i rischi OT includono: danneggiamento alle macchine con conseguenti rischi per la salute degli operatori, accesso non autorizzato con perdita di proprietà intellettuale, manipolazione dei dati di produzione, interruzione dei processi produttivi.
Come deve cambiare l’approccio dunque? La soluzione richiede la definizione e l’attuazione graduale di un modello operativo-organizzativo integrato basato su tre pilastri:

  • Allineamento strategico: adottare un unico risk management framework (come Nist 2.0) che mappi le esigenze di information security, cybersecurity OT e functional safety in modo coerente.
  • Team cross-funzionali: costituire gruppi di lavoro con IT security, OT security e safety engineering per condurre assessment congiunti e definire controlli condivisi, superando i silos organizzativi.
  • Formazione e cultura: far comprendere ai plant manager che un guasto causato da un attacco cyber è pericoloso quanto un guasto hardware; viceversa, sensibilizzare l’IT sul fatto che le reti OT hanno requisiti di disponibilità e integrità molto più stringenti.

Solo con questa mentalità – che è una questione di base, culturale prima che tecnica o di modello operativo – l’azienda può costruire “vera” resilienza ed evitare che, mentre rincorre maggiore cybersecurity, questa non si allontani nuovamente con l’evoluzione degli scenari (basti pensare all’evoluzione dell’AI negli ultimi tre anni e al conseguente drastico cambiamento avutosi, in termini di nuove minacce e nuovi scenari di rischio per l’aziende, di qualunque settore di appartenenza).

Quali criteri suggerite per costruire un piano di adeguamento sostenibile alla Nis2, tenendo conto delle dimensioni e delle risorse disponibili in una Pmi? Quale l’aiuto che siete in grado di dare alle aziende?

Il nostro approccio parte da una constatazione: la Nis2 non è l’unica normativa in arrivo. Entro il 2030 si assisterà all’arrivo del Cyber Resilience Act (prime scadenze 2026) e del Nuovo Regolamento Macchine (operativo da gennaio 2027). In questo scenario complesso, Cefriel è in grado di svolgere il ruolo di “decodificatore della complessità”, indirizzando le aziende verso interventi sartoriali rispetto a criteri quali livello di rischio, proprio ruolo nell’ecosistema, budget disponibile.
Cefriel, nello specifico, vuole accompagnare le aziende nel rispondere alle seguenti domande concrete:

  • Rispetto a quanto già implementato, cosa manca per allinearsi alle misure Nis2?
  • Quali best practice considerare, valutando opportunità e fattibilità nel contesto specifico?
  • Quali interventi concreti mettere in campo per colmare i gap identificati?
  • Come impostare un programma temporalmente sostenibile, coerente con le milestone normative?
  • Come indirizzare l’implementazione e coordinare i fornitori coinvolti?
  • Come verificare che si stia procedendo nella direzione giusta?

Più concretamente, il supporto operativo di Cefriel – per rispondere alle domande prima espresse – si articola in quattro fasi o moduli. L’attivazione di questi non deve essere integrale e omnicomprensiva (full), ovviamente, ma a discrezione delle specifiche esigenze dell’azienda. Inoltre, Cefriel, in presenza di altri partner, può collaborare ricoprendo il ruolo di advisor, coach o, potenzialmente, executor di qualche intervento che implementi contro-misure.

Ecco una descrizione delle fasi:

  • Gap analysis: confronto sistematico tra misure attuali e prescrizioni Nis2, identificando priorità e criticità specifiche dell’organizzazione.
  • Pianificazione sostenibile: supporto nella definizione di un piano d’azione calibrato su dimensioni aziendali, budget e timeline normative. Considerando che, dal momento della classificazione decorrono indicativamente 18 mesi per le misure di sicurezza e indicativamente 9 mesi per attivare i meccanismi di notifica incidenti, la pianificazione deve essere realistica ma efficace.
  • Supporto all’implementazione: accompagnamento nell’esecuzione delle attività pianificate, coordinamento con fornitori, supporto nell’aggiornamento di policy e procedure di sicurezza.
  • Monitoraggio e revisione: supporto nella verifica continua dell’efficacia delle contromisure implementate e revisione periodica per mantenere la conformità nel tempo.

Questo approccio permette alle Pmi di trasformare un obbligo normativo in opportunità strategica, costruendo resilienza incrementale senza compromettere la sostenibilità economica. Come anche suggerito dal legislatore stesso: un approccio proporzionale rispetto alle dimensioni, al grado di esposizione, al rischio, al settore e alla tipologia del soggetto.

Come si può misurare in modo efficace la riduzione del rischio cyber ottenuta attraverso l’implementazione delle contromisure previste dalla Nis2?

La misurazione efficace del rischio cyber richiede un framework strutturato che integri indicatori quantitativi e qualitativi, calibrati su diversi livelli organizzativi. A grana grossa, si può asserire che l’approccio di Cefriel preveda tre categorie di indicatori e un elemento cruciale:

Ksi (Key Security Indicators) e Kri (Key Risk Indicators) standard: metriche consolidate come tempo medio di detection degli incidenti, percentuale di patch applicate nei tempi previsti, numero di vulnerabilità critiche risolte, tasso di phishing test superati dal personale.

Indicatori specifici aziendali: metriche personalizzate che catturano le peculiarità del contesto operativo, del settore di appartenenza e dei processi critici specifici.

Indicatori per il board aziendale: da mostrare in dashboard direzionali sintetiche, che traducono metriche tecniche in linguaggio business, mostrando l’impatto delle contromisure su continuità operativa, reputazione, conformità normativa.

Elemento cruciale: misurare anche il rischio derivante dal fattore umano attraverso indicatori quantitativi – spesso il più trascurato ma fondamentale anello della catena di sicurezza. In estrema sintesi, Cefriel è in grado di accompagnare l’azienda nell’implementazione di cruscotti integrati per:

  • Monitorare lo stato di implementazione delle contromisure
  • Identificare chi deve fare cosa e quando
  • Misurare l’evoluzione del livello di rischio nel tempo
  • Dimostrare il Roi degli investimenti in cybersecurity

Nel contesto della Nis2 e delle ispezioni da parte delle autorità di controllo, la capacità di dimostrare ciò che si è fatto è tanto importante quanto l’azione stessa. Ogni misura deve essere tracciabile, aggiornata e condivisa – questo rafforza l’accountability, pilastro fondamentale della normativa. La misurazione così non è solo compliance: è governance strategica che trasforma la cybersecurity da costo in investimento, da obbligo in vantaggio competitivo.

Per saperne di più scarica il whitepaper: Comprendere la complessità di Nis2 per trasformarla in vantaggio competitivo

Leggi tutti gli approfondimenti della Rubrica Never stop innovating by Cefriel e Inno3

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE