NIS 2: le principali criticità per i soggetti essenziali italiani
NIS 2: le principali criticità per i soggetti essenziali italiani
Dopo un prolungato periodo di attesa, l’Agenzia per la Cybersicurezza Nazionale ha pubblicato le linee guida operative che dovranno essere adottate dai soggetti essenziali. Queste indicazioni definiscono in modo chiaro le azioni necessarie per conformarsi al nuovo assetto normativo previsto dalla direttiva europea NIS2. L’intento principale è potenziare in maniera significativa la sicurezza informatica delle strutture che svolgono funzioni strategiche per lo Stato, l’economia nazionale e la tutela dei cittadini. Con la determinazione n. 164179/2025, l’ACN introduce una distinzione tra soggetti essenziali e soggetti importanti, ai quali si applicano misure differenti.
Nel dettaglio, ai soggetti essenziali è richiesto di definire e mantenere configurazioni sicure – dette anche “hardened” – per i propri sistemi critici di rete e informazione. Questo approccio mira a ridurre al minimo le potenziali vulnerabilità, intervenendo in modo mirato su vari aspetti: dalla disattivazione di servizi non indispensabili, alla configurazione di parametri di sicurezza più restrittivi, fino alla rimozione di software preinstallato superfluo e al rafforzamento dei meccanismi di autenticazione e controllo degli accessi. Si tratta di un intervento complesso, che presuppone competenze tecniche elevate, una fase di test approfondita e un controllo centralizzato delle politiche di sistema.
L’obbligo di formazione specialistica per i ruoli critici riguarda esclusivamente i soggetti essenziali. Tale formazione deve essere oggetto di una pianificazione precisa, adeguatamente documentata e monitorata, con la verifica effettiva delle competenze acquisite. Si tratta di un’evoluzione significativa rispetto alla formazione generica, che richiede l’adozione di un programma formativo strutturato, continuo e aggiornato nel tempo. Ai soggetti essenziali viene anche richiesto di garantire l’aggiornamento costante delle comunicazioni di rete, sia interne che esterne. Questo obbligo implica l’impiego di strumenti avanzati di monitoraggio e visualizzazione, in grado di offrire una visione chiara e in tempo reale dell’infrastruttura comunicativa.
L’attuazione delle misure appena elencate presuppone un’elevata capacità di coordinamento, un approccio strutturato alla sicurezza informatica e competenze tecniche avanzate. In assenza di questi elementi, è probabile che emergano criticità e ostacoli operativi.
Oltre agli obblighi specifici per i soggetti essenziali, esistono altre misure particolarmente gravose che riguardano le aziende in generale, tra cui spicca l’analisi del rischio, elemento centrale delle strategie di sicurezza. Questa attività deve essere condotta con il supporto di competenze multidisciplinari, tra cui quelle giuridiche e organizzative, in grado di esaminare tutti i settori aziendali coinvolti; la formazione, è fondamentale adattarla al contesto aziendale e fornendo contenuti mirati. Inoltre, è essenziale personalizzare la formazione in base ai ruoli e alle responsabilità di ciascun individuo coinvolto; la gestione della supply chain, che rappresenta uno dei tasti più dolenti. In questo caso, è di fondamentale importanza valutare i rischi derivanti dai fornitori IT e integrare clausole contrattuali di sicurezza nei bandi e contratti.
La Direttiva NIS 2, nella sua applicazione in Italia, stabilisce requisiti di cybersecurity sempre più severi in relazione alla criticità dei soggetti. Molte delle misure previste non implicano solo investimenti tecnologici, ma anche un impegno in termini di competenze, tempo, cambiamento culturale e una governance trasversale. Inoltre, tali misure richiedono competenze che vanno oltre l’aspetto tecnico, comprendendo anche profili giuridici, strategici e organizzativi.