Giorgio Triolo, CTO Axitea, sulla Direttiva NIS2 che impone nuovi obblighi: capire e superare il test diventa essenziale per la resilienza operativa.
Il conto alla rovescia verso l’implementazione della Direttiva NIS2, fissata per ottobre 2026, è iniziato. In tutta Italia, i board delle aziende sono animati da confronti accesi sulle scadenze, sull’impatto delle sanzioni e su come rispettare l’impressionante elenco di nuove misure di sicurezza richieste. La sensazione è che si stia trattando questa normativa europea semplicemente come un nuovo GDPR.
Tuttavia, concentrarsi esclusivamente sui costi di conformità – sia economici che di risorse – e sui vincoli burocratici rappresenta un errore strategico. La direttiva non è una checklist o un progetto delimitato; è piuttosto un mandato per una nuova, progressiva resilienza operativa.
La vera sfida di questa normativa non sta infatti nelle dieci misure di sicurezza che richiede, ma in un’unica, stringente richiesta: la finestra di notifica degli incidenti entro 24 ore. Questo requisito è un “test di resistenza”, una cartina di tornasole per valutare la maturità operativa di un’impresa.
Il recente ampliamento del perimetro della direttiva oltre le infrastrutture critiche tradizionali rende ora questo test rilevante per migliaia di entità dell’economia italiana in settori come manifatturiero, logistica e servizi digitali. Questa “democratizzazione della cybersecurity” pone ora una responsabilità legale diretta sulla leadership aziendale.
Di conseguenza, superare questa prova vuol dire trasformare un onere normativo in un vantaggio competitivo tangibile a livello nazionale.
Il primo passo: la nomina del referente CSIRT
Prima ancora di affrontare le scadenze operative, le aziende sono chiamate ad affrontare un passaggio fondamentale per la gestione degli incidenti: la nomina di un referente CSIRT, ossia il Computer Security Incident Response Team. Entro il 31 dicembre 2025, i soggetti nel perimetro NIS2 dovranno tassativamente designare questa figura per garantire che le comunicazioni con il CSIRT Italia siano tempestive, accurate e conformi.
Si tratta di una figura ulteriore e differente da quella del Punto di Contatto (PdC) – la figura istituzionale dell’organizzazione, responsabile della compliance e della gestione delle comunicazioni ufficiali con ACN – e auspicabilmente interna all’azienda. La sua capacità di agire rapidamente è direttamente correlata all’efficacia della risposta aziendale e, quindi, alla sua resilienza.
Questo primo adempimento rappresenta da solo una sfida significativa per molte organizzazioni. Individuare, formare e mantenere internamente una risorsa con tali responsabilità e competenze specialistiche, operativa 24/7, richiede tempo, selezione e disponibilità economiche che molte imprese non hanno a disposizione.
Per evitare il rischio di inadempienza, le aziende possono quindi avvalersi di partner specializzati per la formazione e l’affiancamento di questa nuova figura. Un supporto esterno può essere cruciale per fornire al referente interno la struttura e il sostegno necessari a gestire l’intero processo di notifica. Dalla definizione delle procedure e la creazione di un “incident book”. Fino alla conduzione di simulazioni di attacco per testare l’efficacia della risposta.
Come superare la Direttiva NIS2: triage, SOC e resilienza operativa
La sfida pratica: decostruire la notifica in 24 ore
I tempi di segnalazione imposti dalla direttiva NIS2 non sono differibili e si articolano in più fasi. Per ogni incidente identificato come “significativo”, un’azienda deve:
-
Inviare una pre-notifica entro 24 ore: confermare rapidamente al CSIRT dell’Agenzia per la Cybersicurezza Nazionale che si è verificato un incidente significativo. Ciò implica una capacità quasi istantanea di rilevamento e analisi preliminare (triage).
-
Fornire i dettagli entro 72 ore: comunicazione approfondita con gravità, impatto e indicatori di compromissione, che richiede abilità forensi e analitiche.
-
Presentare la relazione finale entro un mese: con causa principale, misure di mitigazione e impatto sul mercato. Richiede un processo strutturato di gestione dell’incidente.
Per un reparto IT tradizionale, rispettare queste scadenze in orario da ufficio è impossibile. Il volume stesso delle minacce moderne – il Rapporto Clusit mostra un aumento del 15% degli attacchi verso entità italiane su base annua – crea un flusso costante di alert. Aspettarsi che un team interno, già sovraccarico, rilevi un attacco sofisticato alle 3 del mattino di domenica, lo distingua da migliaia di falsi positivi e consegni un report formale entro lunedì mattina è irrealistico. Il vecchio modello reattivo non può quindi rispondere a questo mandato.
Il SOC come motore operativo per conformità e resilienza
L’unico modo per superare con successo il “test delle 24 ore” è disporre di una funzione di sicurezza sempre attiva. Un moderno Security Operations Center (SOC) si rivela indispensabile non solo come strumento di sicurezza, ma come elemento operativo che alimenta sia la conformità alla direttiva NIS2 sia la resilienza aziendale.
Le sue capacità rispondono direttamente alle richieste della direttiva:
- Monitoraggio continuo 24/7 per rilevare un incidente nel momento stesso in cui si verifica, con triage potenziato da intelligenza artificiale e automazione.
- Stack integrato (SIEM, EDR) per raccogliere rapidamente dati forensi, utili alla notifica entro 72 ore.
- Playbook strutturati di incident response per garantire azioni di contenimento e una tracciabilità completa per la relazione finale.
Dalla conformità al vantaggio competitivo
Per la conformità alla direttiva NIS2 non basta acquistare un software o superare un audit una tantum: servono nuove capacità operative. Il test delle 24 ore dimostra che il monitoraggio gestito da esperti non è più un’opzione.
Le aziende che investiranno in un modello basato su un SOC scopriranno di aver acquisito un vantaggio reale: maggiore visibilità, MTTR ridotto (in Axitea circa 25 minuti) e una postura di sicurezza più solida rispetto ai concorrenti.
Non bisogna solo prepararsi per le scadenze della direttiva NIS2. La normativa rappresenta un’opportunità per costruire una resilienza duratura. E l’investimento di oggi per superare il test delle 24 ore genererà valore per gli anni futuri.
