Home » Attualità » Cyber Security » NIS2: il curioso caso italiano

NIS2: il curioso caso italiano

NIS2: il curioso caso italiano
Shutterstock

La Rubrica – Cyber Security Week

Il recepimento del Direttiva NIS 2, voluta dalla UE per elevare il livello di sicurezza cyber dei 27, assomiglia poco a una marcia ordinata e molto di più a una partenza di gruppo in cui qualcuno scatta, qualcuno si controlla le scarpe e qualcun altro sta ancora cercando il pettorale. Alla scadenza del 17 ottobre 2024 molti Stati membri non avevano completato la trasposizione. Il 28 novembre 2024 la Commissione europea aveva aperto procedure di infrazione contro 23 Paesi e il 7 maggio 2025 aveva inviato un parere motivato a 19 Stati membri per mancata notifica del pieno recepimento.

Da allora il quadro si è mosso, ma non si è magicamente ordinato. I tracker europei più recenti raccontano comunque una corsa ancora in ordine decisamente sparso. Secondo ECSO, la European Cyber Security Organisation, a maggio 2026, 23 Stati membri su 27 avrebbero ormai trasposto la NIS2 nel diritto nazionale. Restano però almeno quattro ordinamenti ancora in fase di disegno di legge: Francia, Irlanda, Paesi Bassi e Spagna. Altre fonti di mercato parlano invece di 22 Stati su 27 e includono anche il Lussemburgo tra i casi non ancora chiusi. L’Europa ha fatto passi avanti, però non cammina ancora tutta con lo stesso passo.

In questo scenario l’Italia si trova in una posizione curiosa, quasi sospetta per chi conosce una certa nostra liturgia nazionale. Questa volta non siamo arrivati trafelati all’ultimo minuto, con le scarpe allacciate male e il pettorale dimenticato negli spogliatoi. Il Decreto Legislativo 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre ed entrato in vigore il 16 ottobre, ha recepito la direttiva prima della scadenza europea. Non solo: il sistema italiano ha iniziato a mettere a terra passaggi sostanziali, dalla registrazione dei soggetti all’individuazione dei fornitori critici, fino alla categorizzazione dei servizi rilevanti per ciascun operatore.

Allora succede che “a pensar male si fa peccato”, ma tante volte si indovina. Una parte del mercato, infatti, potrebbe chiedersi perché mai dovremmo correre tanto, visto che molti altri sono in ritardo. La domanda, in apparenza ragionevole, nasconde una tentazione antica: trasformare la lentezza altrui in una giustificazione per fermare la macchina. È una variante evoluta del “lo fanno tutti”, che da bambini serviva per rientrare tardi e da adulti viene usata per rimandare piani di sicurezza, investimenti e responsabilità. A questo punto, di solito, entrano in scena due parole molto comode: costi e burocrazia. Adeguarsi costa, certo, perché richiede persone, processi, tecnologie, consulenze, tempo del management e una certa disponibilità a guardare negli armadi dove da anni si accumulano scheletri con indirizzo IP. Altrettanto vero che registrazioni, classificazioni, mappature dei fornitori e procedure di notifica possono trasformarsi in un pellegrinaggio tra portali, moduli e responsabilità. Tuttavia, il punto è un altro: la NIS2 chiede di sapere quali servizi sono critici, da chi dipendono, quali incidenti possono metterli in ginocchio. Se questa è burocrazia, allora anche sapere dove sono le uscite di sicurezza in un teatro lo è, almeno fino al momento in cui qualcuno grida “al fuoco”, Allora quello che prima sembra un fastidio diventa l’unica cosa che avremmo voluto conoscere meglio.

C’è poi un dato culturale che sarebbe ingenuo ignorare. In Italia, salvo luminose eccezioni, la sicurezza informatica non è mai stata una virtù spontanea di massa. Non abbiamo visto folle di imprese presentarsi all’alba davanti agli sportelli chiedendo di poter mappare asset, dipendenze, fornitori e procedure di escalation. Di solito, perché qualcosa accada, servono una legge, una scadenza e una sanzione che faccia abbastanza paura. Non sarà elegante, ma spesso funziona in questo modo.

La NIS2, quindi, non dovrebbe essere vissuta come una stravaganza regolatoria europea, ma come un tentativo tardivo e necessario di portare la cybersicurezza dove avrebbe dovuto stare da tempo: nel governo dell’organizzazione. Non nel sottoscala dei tecnici, non nella casella mentale etichettata “ci pensa l’IT”, non nel rassicurante mondo dei firewall comprati una volta e dimenticati. La sicurezza digitale riguarda continuità dei servizi, fornitori, responsabilità, reputazione, cittadini, clienti e capacità di restare in piedi quando qualcosa va storto. Naturalmente il rischio di creare burocrazia esiste. Ogni norma può diventare un labirinto, ogni portale un piccolo purgatorio digitale, ogni adempimento una fabbrica di “timbri”. Non credo sia il caso di usare questo argomento contro la NIS 2, ma piuttosto per favorire una sua applicazione intelligente. La domanda corretta, allora, non è perché l’Italia stia correndo mentre altri Paesi sono in ritardo. Quella giusta è perché abbiamo dovuto aspettare una direttiva europea per fare cose che, in molti casi, avremmo dovuto fare comunque: sapere quali servizi sono critici, quali fornitori possono fermarci e come reagire a un incidente.

Questa volta essere partiti presto può diventare un vantaggio; a condizione di non correggere la puntualità come fosse un errore, perché il tempo è l’unica merce che non ha prezzo.

© Riproduzione Riservata