La Direttiva NIS2 cambia il rapporto tra cybersecurity e governance aziendale: non riguarda solo l’IT, ma responsabilità, controlli, sanzioni e reputazione dei vertici. Per CDA, amministratori delegati e direzioni generali, il rischio cyber diventa una questione di bilancio, vigilanza e continuità operativa.

Tra pochi mesi, per molti consigli di amministrazione italiani la cybersecurity smetterà di essere un tema tecnico e diventerà una voce di rischio personale, economico e reputazionale.

Con la Direttiva NIS2, il rischio informatico non riguarda più soltanto firewall, backup e procedure tecniche: diventa una questione di governance, responsabilità personale e continuità aziendale. Per amministratori delegati, presidenti esecutivi, direttori generali e membri del CDA, la mancata conformità può produrre conseguenze giuridiche, economiche e reputazionali dirette. Il punto non è sapere come funziona un firewall. È poter dimostrare di aver vigilato. Tra pochi mesi, non sapere non sarà un’attenuante.

I dati sulle minacce digitali

2.403 attacchi informatici a settimana, contro una media globale di 2.090. Non si tratta di una statistica astratta, ma della dimensione concreta del rischio operativo che oggi incombe, ogni settimana, sulle organizzazioni italiane di medie e grandi dimensioni. Le organizzazioni italiane subiscono più attacchi informatici delle omologhe tedesche, francesi, spagnole: secondo il Global Threat Intelligence Report di Check Point Research, a gennaio 2026 si sono verificati in media 2.403 attacchi a settimana, di cui alcuni classificati come gravi.

Il Rapporto Clusit 2025 certifica una crescita del +15,2% degli attacchi gravi in Italia nell’ultimo anno — 357 incidenti classificati come gravi o critici, il 10% di tutti quelli registrati a livello mondiale, in un paese che pesa per meno del 2% del PIL globale. PMI e supply chain sono indicate come bersagli primari: non perché siano le più ricche, ma perché sono le meno protette.

Le sfide strutturali

Le ragioni sono strutturali: un tessuto produttivo fatto di aziende medie, spesso con tecnologie datate, spesso prive di una funzione di sicurezza strutturata, spesso dipendenti da una filiera di fornitori con standard eterogenei. Un terreno fertile.

La Direttiva NIS 2016

La prima Direttiva NIS (2016) puntava sulla consapevolezza. Era fondata prevalentemente su un approccio di sensibilizzazione e coordinamento: definiva standard minimi, promuoveva buone pratiche e lasciava agli Stati membri ampi margini di discrezionalità nell’attuazione. Otto anni dopo, il bilancio è chiaro: applicazione frammentata, livelli di maturità profondamente disomogenei tra Paesi e settori strategici, mentre il panorama delle minacce informatiche è cresciuto in intensità, sofisticazione e impatto economico.

Il cambiamento con NIS2

L’Unione Europea ha quindi tratto la logica conclusione: l’approccio volontaristico non funziona. La Direttiva NIS2 introduce così un cambio di paradigma profondo: non più un sistema fondato sulla mera raccomandazione di adottare misure di sicurezza, ma un modello che attribuisce precise responsabilità ai vertici delle organizzazioni. Il messaggio è molto più diretto: la sicurezza informatica non è più soltanto una questione tecnica, ma un tema di governo societario e di responsabilità personale.

Recepimento in Italia

L’Italia è stata tra i soli quattro paesi europei, insieme a Croazia, Belgio e Lituania, ad aver recepito la NIS2 entro la scadenza del 17 ottobre 2024. Con il Decreto Legislativo n. 138/2024, entrato in vigore il 16 ottobre 2024, il legislatore ha attribuito all’Agenzia per la Cybersicurezza Nazionale il ruolo di Autorità nazionale competente NIS, conferendole poteri estesi di vigilanza, ispezione, richiesta documentale e applicazione di sanzioni amministrative.

Dal 12 aprile 2025 l’ACN ha iniziato a notificare via PEC alle organizzazioni interessate la loro inclusione nel perimetro NIS. I numeri restituiscono con chiarezza la portata del nuovo sistema regolatorio: oltre 30.000 realtà hanno partecipato alla fase di censimento e più di 20.000 organizzazioni risultano oggi incluse nell’elenco dei soggetti NIS, di cui oltre 5.000 classificate come soggetti essenziali.

Punti critici e problematiche

Il percorso di adeguamento non è futuro o ipotetico: è già operativo. Le principali scadenze si stanno progressivamente consolidando.

La fase della “gradualità”, quella in cui ACN ha adottato un atteggiamento di supporto e accompagnamento, si sta esaurendo. Il focus delle autorità non sarà più soltanto orientato alla sensibilizzazione, ma alla capacità concreta delle organizzazioni di dimostrare il proprio livello di conformità: governance, procedure, controlli, gestione degli incidenti, sicurezza della supply chain, tracciabilità delle decisioni e accountability del management.

Tra gli elementi più problematici emersi nelle prime analisi applicative della NIS2 in Italia ve n’è uno di natura strutturale: in un’organizzazione su tre, il management non è coinvolto nel processo di cybersecurity. La sicurezza informatica è ancora delegata interamente alla funzione IT, senza alcun meccanismo di supervisione, approvazione o responsabilizzazione dell’organo di vertice.

Responsabilità e conformità

Questo non è solo un problema organizzativo. È un problema di conformità diretta con la Direttiva, che all’articolo 20 impone esplicitamente che i vertici approvino le misure di gestione del rischio, le supervisionino e ne rispondano in caso di violazione. L’assenza del management dalla “stanza della cybersecurity” non rappresenta più soltanto una debolezza organizzativa. Sta diventando, progressivamente, un indice di non conformità regolatoria e di esposizione personale per gli organi di vertice.

Conformità e approvazione

Il punto che la maggior parte dei top manager non ha ancora recepito riguarda la natura della responsabilità introdotta dalla NIS2. Non si tratta di una sanzione amministrativa che cade sull’azienda come entità giuridica. Si tratta di una responsabilità che risale fino all’organo apicale.

L’articolo