Un’Europa più sicura, almeno dal punto di vista dei dati, delle infrastrutture e applicazioni informatiche: è l’obiettivo della direttiva Nis2, che aggiorna la precedente Nis (acronimo di Network and Information Security) e che è stata recepita dall’ordinamento italiano lo scorso anno. Rispetto alla precedente normativa, sono stati fissati obblighi più precisi in merito alla gestione dei rischi cyber, alla disclosure degli incidenti e alla cooperazione con le autorità competenti. Inoltre l’ambito di applicazione è stato allargato, includendo tutte le imprese private e organizzazioni pubbliche che “svolgono funzioni importanti per l’economia e la società nel suo insieme”, e dunque sanità, trasporti, servizi postali, fornitura di energia, produzione alimentare, industria chimica, gestione dei rifiuti e anche servizi digitali come motori di ricerca, social network e piattaforme Web.
In caso di mancata compliance, sono previste sanzioni fino a un massimo di 10 milioni di euro o del 2% del fatturato (calcolato sull’anno precedente) se le aziende svolgono un’opera “essenziale” per la società, e fino a 7 milioni di euro o all’1,4% del fatturato per chi svolge un’azione “importante”.
Come hanno affrontato e stanno affrontando la Nis2 le aziende italiane? Abbiamo parlato di questo (ma non solo) con Maurizio De Paoli Alighieri, security manager di Smeup Ics, la divisione di Smeup che si occupa di progetti di infrastruttura IT, cloud e sicurezza informatica.
Maurizio De Paoli Alighieri, security manager di Smeup Ics
In base al vostro punto di osservazione e ai progetti realizzati con i vostri clienti, qual è stato per le aziende italiane il percorso verso la compliance alla Nis2?
Abbiamo riscontrato due scenari principali: da un lato, aziende già mature su alcuni temi chiave, per esempio il controllo degli accessi o la protezione perimetrale, che hanno accolto NIS2 come un’opportunità per formalizzare e strutturare le pratiche esistenti. Dall’altro lato, aziende meno consapevoli, per le quali la direttiva ha rappresentato un punto di partenza per costruire una cultura della sicurezza. In entrambi i casi, la Nis2 ha avuto il merito di rendere la cybersecurity una priorità strategica e non solo tecnica.
Quali sono state le principali sfide affrontate?
Una delle principali sfide è stata il passaggio da una logica reattiva a una proattiva. La direttiva richiede non solo misure di difesa, ma anche capacità di rilevamento, risposta e continuità operativa. Molte aziende hanno dovuto rivedere l’approccio al monitoraggio e alla gestione degli incidenti. Sul fronte organizzativo, l’integrazione tra IT, compliance e top management è ancora un percorso in divenire: serve collaborazione trasversale e cultura diffusa della sicurezza.
Su quali aree e processi aziendali l’impatto della Nis2 è più evidente?
Sicuramente sull’infrastruttura IT e sulla gestione degli accessi, ma anche – e forse soprattutto – sulla supply chain e sui processi di governance. La Nis2 amplia lo sguardo: non ci si limita più alla propria rete, ma si è responsabili anche delle terze parti critiche. Questo impatta in modo diretto sulla selezione dei fornitori, sulla gestione dei contratti e sulla valutazione dei rischi di filiera.
Perché, secondo voi, esistono ancora tanti problemi di sicurezza legati al cloud, nonostante si tratti di un modello tecnologico consolidato?
Il cloud è maturo come tecnologia, ma non sempre lo è il modo in cui viene implementato. Molte vulnerabilità derivano da configurazioni errate, da una gestione non centralizzata degli accessi o dalla mancanza di visibilità sui flussi di dati. Inoltre, spesso si dà per scontato che il cloud provider garantisca tutta la sicurezza necessaria, dimenticando che la responsabilità è condivisa: spetta all’azienda proteggere ciò che mette nel cloud.
Le logiche di protezione degli ambienti cloud e dell’on-premise sono le stesse? Oppure le aziende dovrebbero adottare due approcci diversi?
Le logiche di base sono simili – visibilità, controllo degli accessi, protezione del dato – ma l’approccio operativo deve essere adattato. L’ambiente cloud è dinamico, esposto e accessibile da molteplici punti. Serve un modello di sicurezza che segua il dato, non il perimetro. Gli ambienti ibridi, sempre più diffusi, richiedono architetture integrate e strumenti capaci di operare trasversalmente: è qui che entrano in gioco soluzioni come Sase, Xdr e identity management centralizzato.
Si tratta di un tema complesso e sfaccettato, a cui abbiamo perciò voluto dedicare uno degli appuntamenti del nostro ciclo di webinar dedicato alla cybersecurity. Nella sessione del prossimo 13 maggio, infatti, approfondiremo proprio la necessità di un approccio specifico alla sicurezza, pensato per ambienti distribuiti e dinamici.
Quali sono le tendenze di cybersicurezza più evidenti in questo 2025? E che cosa vi aspettate per il prossimo futuro?
Nel 2025 vediamo crescere l’interesse verso soluzioni integrate, automatizzate e intelligenti. L’adozione di strumenti come l’Edr o l’Xdr, l’autenticazione multifattore e i Security Operations Center gestiti è in netto aumento. Allo stesso tempo, si parla sempre più di sicurezza applicata ai dati e all’identità, non solo all’infrastruttura.
Guardando al futuro, il fattore umano assumerà un ruolo ancora più critico. Non si tratta solo di formazione, ma di costruire una vera e propria cultura della sicurezza, dove ogni individuo è consapevole e responsabile. L'adozione di architetture Zero Trust diventerà fondamentale per limitare il raggio d’azione degli attacchi. Infine, l’intelligenza artificiale giocherà un ruolo duplice: da un lato, rafforzerà le difese, ma dall'altro, alimenterà anche attacchi più sofisticati, richiedendo un’evoluzione continua delle strategie di sicurezza.