NIS 2 in pratica: i punti dolenti per i soggetti essenziali italiani

Differenze tra misure per soggetti importanti e soggetti essenziali

La determina ACN 164179/2025, in particolare, distingue due categorie di destinatari: i soggetti essenziali e i soggetti importanti, a ciascuno dei quali si applicano requisiti diversi raccolti in due allegati distinti.

Ma quali sono le principali differenze tra questi due insiemi di misure? E quali risultano più difficili da implementare per le aziende, soprattutto quelle di dimensioni medio-piccole o con una bassa maturità in ambito cybersecurity?

Scorrendo i due Allegati, che di seguito verranno distinti in Allegato 1 per i soggetti importanti e Allegato 2 per i soggetti essenziali, si nota subito che la struttura è sostanzialmente la stessa. Entrambi seguono il modello del nuovo Framework Nazionale per la Cybersecurity e la Data Protection, articolato in cinque funzioni: Governance, Identify, Protect, Detect e Respond.

Tuttavia, le misure per i soggetti essenziali (Allegato 2) sono decisamente più dettagliate, prescrittive e formali. In altre parole, se l’Allegato 1 definisce una sorta di “zoccolo duro” della sicurezza informatica, l’Allegato 2 si spinge più in là, chiedendo alle organizzazioni essenziali di adottare pratiche mature, controlli rigorosi, documentazione estensiva e una forte integrazione della sicurezza nei processi di business.

Misure esclusive per i soggetti essenziali e relative complessità

A riprova di quanto appena affermato ed entrando nel dettaglio delle misure di sicurezza per i soggetti essenziali e quelli importanti, di seguito si riportano alcune differenze significative:

Gestione delle configurazioni sicure

Questa misura è presente solo nell’Allegato 2. I soggetti essenziali devono definire e mantenere configurazioni “hardened” per i propri sistemi informativi e di rete critici, ovvero configurazioni sicure che minimizzino le vulnerabilità esposte. Il concetto di “hardening” implica la disattivazione di servizi non necessari, l’impostazione di parametri di sicurezza più rigidi, l’eliminazione di software preinstallato inutile e il rafforzamento dell’autenticazione e del controllo accessi. È una misura certamente impegnativa, perché richiede competenze tecniche avanzate, test accurati e una gestione centralizzata delle policy di sistema.

Aggiornamenti software critici con test in ambiente isolato

Solo i soggetti essenziali hanno l’obbligo di verificare gli aggiornamenti software critici in ambiente di test separato prima del rilascio in produzione, salvo motivate eccezioni. Questo comporta non solo infrastrutture duplicate, ma anche processi DevSecOps maturi e capacità di validazione tecnica, spesso non adottati nelle realtà non particolarmente mature in ambito cybersecurity.

Formazione specifica per ruoli tecnici

Anche se entrambi gli allegati prevedono la formazione del personale, solo i soggetti essenziali sono tenuti a una formazione specialistica per ruoli critici, come gli amministratori di sistema, che preveda l’erogazione anche di contenuti tecnici e operativi sul funzionamento sicuro dei sistemi.

Viene inoltre richiesto che questa formazione sia pianificata, documentata e tracciata, con verifica delle competenze acquisite. È un salto di qualità che implica un piano formativo articolato e aggiornato, non semplici corsi di livello più generale.

Gestione dell’hardware

Anche questa misura impone esclusivamente ai soggetti essenziali di mantenere un registro delle attività di manutenzione dell’hardware e di adottare procedure per la dismissione sicura dei dispositivi di memorizzazione.

Rappresentazione dei flussi di rete

Prevista solo per i soggetti essenziali, richiede di mappare e mantenere aggiornate le comunicazioni di rete interne ed esterne, uno sforzo che comporta l’adozione di strumenti di monitoraggio e rappresentazione avanzati.

Ostacoli per le aziende nell’applicazione delle misure più avanzate

Senz’altro le misure che richiedono uno sforzo maggiore sono quelle applicabili solo ai soggetti essenziali, perché richiedono una forte capacità organizzativa e di spesa e un approccio culturalmente maturo alla cybersecurity, oltre a competenze specialistiche capaci di integrare tali misure e procedure nei processi aziendali. Le aziende che non hanno già una struttura IT ben organizzata, o che operano in settori meno digitalizzati, possono incontrare diverse difficoltà.

Tra le misure indicate, quelle più complesse da implementare condividono alcuni elementi comuni: richiedono investimenti tecnologici e di formazione, approcci di governance integrati giuridico-organizzativi, competenze tecniche specifiche e continuità nel tempo.

Le misure di sicurezza NIS 2 più onerose per le aziende

Tuttavia, al di là delle misure previste esclusivamente per i soggetti essenziali, tra quelle più onerose per le aziende si possono annoverare:

• la gestione della supply chain, che spesso rappresenta uno dei tasti più dolenti tanto nelle realtà strutturate quanto in quelle più agili. Infatti, molti soggetti non hanno visibilità piena sulle catene di fornitura ICT e mancano di competenze giuridiche e tecniche per gestire questi aspetti con efficacia. Dunque, diventa di fondamentale importanza valutare i rischi derivanti dai fornitori IT e integrare clausole contrattuali di sicurezza nei bandi e contratti. Dal momento che la Direttiva NIS 2, diversamente da quanto avviene con altre normative in materia di cybersecurity, non dettaglia un contenuto minimo dei contratti, diviene ancora più cruciale prevedere, nell’ambito delle azioni di conformità, lo studio e la redazione di disposizioni contrattuali ad hoc per gestire gli aspetti della cybersicurezza.
• l’analisi del rischio, che rappresenta il cuore delle misure di sicurezza, sulla base della quale sono declinate le altre. Anche in questo caso la normativa non specifica una metodologia per l’analisi dei rischi, per cui risulta essenziale svolgerla con il supporto di diverse competenze, prime fra tutte quelle giuridiche e di organizzazione aziendale, che siano in grado di analizzare tutti gli ambiti dell’azienda ai quali dovranno applicarsi i relativi esiti, in modo da indirizzare al meglio l’azione dei tecnici.
• la formazione. Sebbene questo adempimento possa apparire tra i più semplici, è opportuno saperlo declinare nella realtà aziendale senza fornire una formazione standard, ma al contrario dando nozioni utili alla realtà specifica nella quale operano i soggetti. Inoltre, è di fondamentale importanza declinarla sulla base dei ruoli e delle responsabilità dei soggetti coinvolti: è logico che la formazione rivolta agli amministratori di sistema sarà necessariamente differente da quella pensata per gli amministratori della società, che hanno la responsabilità definitiva degli adempimenti.

La sfida culturale e organizzativa per la cybersecurity

La Direttiva NIS 2, nella sua declinazione italiana, impone un livello crescente di cybersecurity in funzione della criticità del soggetto. Ma, se è vero che i soggetti essenziali affrontano requisiti più dettagliati e vincolanti, anche i soggetti importanti devono intraprendere un percorso volto a conseguire una maturità sostanziale, superando logiche di reazione spot e abbracciando un modello strutturato, preventivo e documentato.

Molte misure richiedono non solo investimenti in tecnologia, ma anche competenze, tempo, cambiamento culturale e governance trasversale. Inoltre, richiedono competenze che non sono di natura esclusivamente tecnica, ma anche giuridica, strategica e organizzativa.