Nel primo articolo di questa serie abbiamo visto come i comportamenti quotidiani dei dipendenti rappresentino la principale porta d’accesso per i cybercriminali.
Ma c’è un secondo livello di consapevolezza che ogni azienda — grande o piccola — deve raggiungere: quello normativo.
Essere in regola con le normative non è solo una questione legale. È il punto di partenza per costruire una postura di sicurezza reale, non solo formale. E nel 2026, con il pieno dispiegamento della Direttiva NIS2 in Italia, questo tema è più urgente che mai.
Lo scenario normativo: NIS2 e GDPR, cosa è cambiato
Il quadro normativo europeo e italiano in materia di cybersecurity ha subito una trasformazione profonda negli ultimi anni. Due sono i pilastri principali con cui ogni azienda deve oggi confrontarsi.
La Direttiva NIS2 (Direttiva UE 2022/2555) è stata recepita in Italia con il Decreto Legislativo 138/2024, in vigore dal 16 ottobre 2024.
Rispetto alla precedente NIS1, amplia significativamente il perimetro di applicazione: non riguarda più solo le grandi infrastrutture critiche, ma si estende a 18 settori produttivi e oltre 80 tipologie di organizzazioni, incluse molte PMI.
Il criterio non è solo dimensionale: anche un’azienda relativamente piccola può rientrare negli obblighi NIS2 se opera in un settore essenziale o se fa parte della catena di fornitura di un soggetto obbligato.
Il GDPR, in vigore dal 2018, rimane il riferimento centrale per tutto ciò che riguarda la protezione dei dati personali.
NIS2 e GDPR non si sovrappongono: si integrano.
Un incidente di sicurezza informatica che comporta la violazione di dati personali attiva obblighi su entrambi i fronti — con tempistiche di notifica, responsabilità e sanzioni distinte.
Le scadenze NIS2 che contano oggi
Il 2026 è l’anno in cui la NIS2 smette di essere teoria e diventa operativa a tutti gli effetti. Le scadenze principali già scattate o imminenti sono:
- Ottobre 2024: entrata in vigore del D.Lgs. 138/2024 in Italia.
- Luglio 2025: invio all’ACN (Agenzia per la Cybersicurezza Nazionale) dei dati tecnici e organizzativi fondamentali.
- 1 gennaio 2026: obbligo di notifica degli incidenti cyber significativi al CSIRT Italia, con pre-notifica entro 24 ore e notifica completa entro 72 ore.
- Ottobre 2026: deadline per l’implementazione completa delle misure di sicurezza (37 misure per i soggetti importanti, 43 per i soggetti essenziali). Da quella data, l’ACN avvierà le prime ispezioni formali.
In altre parole: chi non si è ancora mosso, è già in ritardo.
Compliance e sicurezza reale: attenzione a non confonderle
Uno degli errori più comuni che osserviamo nelle aziende è credere che essere “in regola” equivalga a essere “al sicuro”. Non è così!
La compliance normativa definisce una soglia minima — un insieme di misure obbligatorie che ogni organizzazione deve adottare.
Ma i cybercriminali non si fermano davanti ai documenti di policy.
Un’azienda può essere formalmente conforme alla NIS2 e avere comunque vulnerabilità tecniche gravi, dipendenti non formati o processi di risposta agli incidenti inefficaci.
La sicurezza reale si costruisce al di sopra della compliance, non al posto di essa.
Il punto di partenza è rispettare gli obblighi normativi; il punto di arrivo è avere un’organizzazione effettivamente resiliente agli attacchi.
Le certificazioni di riferimento: ISO/IEC 27001 e framework nazionali
Nel panorama delle certificazioni in ambito sicurezza informatica, la ISO/IEC 27001 rimane il riferimento internazionale più solido e riconosciuto.
Certifica che l’organizzazione ha implementato un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) strutturato, con processi documentati, verificati e migliorati nel tempo.
A livello italiano, il riferimento metodologico ufficiale per l’adeguamento alla NIS2 è il Framework Nazionale per la Cybersecurity e la Data Protection (edizione 2025), pubblicato dall’ACN.
Questo framework struttura le misure di sicurezza in cinque ambiti: Identificare, Proteggere, Rilevare, Rispondere, Ripristinare. Non è una certificazione in senso stretto, ma la roadmap operativa che ogni organizzazione soggetta alla NIS2 deve seguire.
È importante sapere che la ISO/IEC 27001 e il Framework Nazionale sono complementari: chi ha già ottenuto la certificazione ISO 27001 ha già coperto una parte significativa dei requisiti NIS2, ma non tutti.
L’adeguamento al decreto richiede comunque un’analisi specifica.
I test che ogni azienda dovrebbe effettuare
Oltre alla compliance documentale, esistono tre strumenti operativi fondamentali per misurare il livello reale di sicurezza di un’organizzazione:
Vulnerability Assessment
È un’analisi sistematica delle vulnerabilità presenti nei sistemi informatici aziendali: server, applicazioni, dispositivi di rete, endpoint. Identifica i punti deboli prima che lo facciano i criminali. Dovrebbe essere eseguito con cadenza periodica e ogni volta che vengono introdotti cambiamenti significativi nell’infrastruttura.
Penetration Test (Pen Test)
Va oltre il vulnerability assessment: simula un attacco informatico reale, condotto da esperti di sicurezza con le stesse tecniche utilizzate dagli attaccanti. L’obiettivo è verificare se e come un malintenzionato potrebbe penetrare nei sistemi aziendali e fino a dove potrebbe spingersi. Il risultato è un report dettagliato con le vulnerabilità sfruttabili e le azioni correttive prioritarie.
Simulazione di phishing
Come abbiamo visto nel primo articolo, il phishing è la tecnica di attacco più diffusa. Le simulazioni di phishing permettono di testare in modo controllato la resistenza dei dipendenti a questi attacchi: quanti cliccano su un link malevolo? Quanti inseriscono le proprie credenziali su una pagina falsa? I dati ottenuti sono preziosi per calibrare la formazione e misurare i progressi nel tempo.
Le infrastrutture tecnologiche minime necessarie
Sul fronte tecnologico, ci sono alcune infrastrutture che oggi non sono più opzionali per nessuna organizzazione che voglia proteggersi efficacemente:
- Firewall evoluti (Next Generation Firewall): non si tratta più di semplici filtri di traffico, ma di sistemi in grado di analizzare il contenuto delle comunicazioni, identificare comportamenti anomali e bloccare minacce sofisticate in tempo reale.
- EDR/XDR (Endpoint Detection and Response / Extended Detection and Response): protezione avanzata degli endpoint — computer, server, dispositivi mobili — con capacità di rilevamento e risposta automatica alle minacce, anche quelle che bypassano i tradizionali antivirus.
- Backup strutturato e Disaster Recovery: il backup non è una misura di prevenzione, ma di resilienza. In caso di attacco ransomware — oggi la minaccia più costosa per le PMI — la capacità di ripristinare i sistemi in tempi rapidi può fare la differenza tra sopravvivere all’incidente e subire danni irreversibili.
L’errore più comune: investire solo in tecnologia
Molti manager, una volta compresa l’urgenza del problema, reagiscono acquistando strumenti tecnologici. Firewall, antivirus, sistemi EDR: tutto giusto, tutto necessario. Ma insufficiente, se non accompagnato da altri due elementi fondamentali.
Il primo è la formazione continua dei dipendenti. Come evidenziato nel Report “State of Human Risk 2025” di Mimecast, le sfide legate agli errori umani hanno superato le lacune tecnologiche come la minaccia più significativa per le organizzazioni. Nessun firewall protegge da un dipendente che consegna volontariamente le proprie credenziali a un sito di phishing.
Il secondo è la governance. La NIS2 lo sancisce esplicitamente: gli organi di amministrazione e i dirigenti rispondono direttamente dell’attuazione delle misure di sicurezza. La cybersecurity non è più una questione esclusivamente tecnica delegata all’IT: è materia di governo aziendale.
I rischi concreti per chi non si adegua
Le conseguenze del mancato adeguamento sono di tre tipi.
Sanzioni economiche. Il regime sanzionatorio della NIS2 è severo: per i soggetti essenziali le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale annuo (si applica il valore più alto). Per i soggetti importanti fino a 7 milioni di euro o all’1,4% del fatturato. A queste si aggiungono le eventuali sanzioni GDPR, che possono raggiungere il 4% del fatturato mondiale.
Responsabilità personale dei dirigenti. In caso di grave inottemperanza, il D.Lgs. 138/2024 prevede la possibilità di sospensione temporanea dall’esercizio di funzioni dirigenziali. La responsabilità non è solo dell’azienda, ma delle persone che la guidano.
Danno reputazionale. Un data breach o un attacco ransomware non gestito correttamente diventa spesso una notizia pubblica. Perdere la fiducia di clienti, partner e fornitori ha conseguenze economiche spesso superiori alle stesse sanzioni.
Compliance come punto di partenza, non di arrivo
Rispettare NIS2 e GDPR, dotarsi delle infrastrutture tecnologiche necessarie, formare i dipendenti e testare periodicamente i propri sistemi: questi sono i mattoni di una postura di sicurezza reale. Ma come si costruisce una strategia che tenga insieme tutti questi elementi in modo coerente ed efficace?
Nel prossimo articolo vedremo perché la cybersecurity efficace richiede un approccio olistico — e cosa significa concretamente adottarlo in azienda.