Cybersicurezza: adeguamento alla Direttiva NIS 2
L’evoluzione delle nuove tecnologie integrate nei sistemi aziendali, pubblici e privati, procede ad un ritmo sempre più serrato, e con essa crescono anche i rischi legati alla sicurezza informatica: attacchi hacker, furti di dati sensibili, phishing e campagne di spam sempre più sofisticate. Poiché la digitalizzazione è ormai imprescindibile, soprattutto nei contratti pubblici, la cybersicurezza diventa un pilastro fondamentale per la protezione delle infrastrutture critiche, la continuità operativa e la fiducia dei cittadini e dei consumatori.
Per questo motivo, l’Unione Europea e i singoli Stati membri hanno elaborato strategie mirate a rafforzare la difesa dei sistemi informatici, promuovendo un approccio condiviso alla gestione del rischio digitale. In questo contesto si inserisce la Direttiva NIS 2 (Network and Information Security), recepita in Italia con il recente Decreto Legislativo che amplia l’ambito di applicazione e introduce nuovi obblighi per soggetti pubblici e privati, grandi imprese e PMI.
Noi di Dirextra abbiamo già affrontato il tema della cybersecurity aziendale, distinguendo tra “soggetti essenziali” e “soggetti importanti”. Con l’entrata in vigore delle nuove disposizioni, approfondiamo ora le principali novità del Decreto NIS 2, per comprendere come adeguarsi correttamente alle nuove misure di sicurezza previste dalla normativa europea.
Cosa prevede la Direttiva NIS 2
La Direttiva NIS 2 (Network and Information Security) introduce un nuovo obbligo di cybersicurezza per imprese e PMI che operano in settori considerati critici per la sicurezza nazionale. Recepite in Italia con il D.Lgs. 138/2024, le nuove disposizioni mirano a rendere più resilienti i sistemi digitali e le reti di comunicazione, uniformando gli standard di protezione contro gli attacchi informatici in tutta l’Unione Europea.
Le aziende coinvolte devono seguire un percorso di adeguamento articolato in più fasi. La prima, conclusa il 28 febbraio 2025, ha previsto la registrazione sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). Dal 2026, inoltre, entreranno in vigore ulteriori obblighi, come la notifica tempestiva degli incidenti informatici al CSIRT Italia, la valutazione periodica delle vulnerabilità, l’adozione di misure preventive e reattive come firewall, crittografia e gestione degli accessi, oltre alla redazione di piani di continuità operativa.
Stando alla normativa, inoltre, sono coinvolte due categorie di soggetti: le entità essenziali (grandi imprese o organismi considerati critici per legge) e le entità importanti, ovvero le aziende di settori sensibili come energia, trasporti, rifiuti, servizi digitali e alimentari.
Il Decreto sottolinea anche l’importanza della formazione continua del personale, per ridurre gli errori umani e consolidare la cultura della sicurezza informatica. In quest’ottica, percorsi di aggiornamento come quelli proposti da Dirextra Alta Formazione in collaborazione con EIPASS, che vedremo meglio in seguito, rappresentano un valido supporto per chi desidera allinearsi alle nuove disposizioni e tutelare la propria impresa dai rischi informatici.
Le ultime novità sulla Cyberisicurezza
La Strategia Nazionale di Cybersicurezza 2022-2026, nata per applicare le linee guida di cui sopra, definisce un quadro organico con tre linee d’azione principali: la protezione degli asset strategici, la risposta agli incidenti e lo sviluppo di tecnologie, competenze e autonomia strategica nel digitale.
Vi sono, tuttavia, delle novità recenti introdotte dall’Agenzia per la Cybersicurezza Nazionale, che ha pubblicato un aggiornamento del piano strategico (per il periodo 2025-2027), includendo 5 obiettivi operativi e ben 38 azioni prioritarie, tra cui l’assistenza alle imprese nella rilevazione delle vulnerabilità, l’adozione del framework nazionale di cybersicurezza e data protection e la promozione della formazione tecnica nelle imprese.
Inoltre, è stato pubblicato sul portale NoiPA un vademecum per la pubblica amministrazione contenente 12 buone pratiche operative per rafforzare la cultura della sicurezza nei dipendenti pubblici, riconoscendo che più della metà degli incidenti derivano da errori umani.
In sostanza, le nuove disposizioni puntano a trasformare la cybersicurezza da mero obbligo su carta, a strategia applicata su campo; l’ACN, pioniera di questo cambiamento, guida la transizione verso un ecosistema digitale più reattivo, dove imprese, PA e infrastrutture critiche operano su standard elevati di protezione, risposta e innovazione.
I principali obiettivi dell’Agenzia per la Cybersicurezza Nazionale
Sul sito ufficiale dell’ACN, oltre a conoscere gli ultimi aggiornamenti in materia di cybersicurezza e applicazione graduale delle strategie presentate nei precedenti paragrafi, si possono conoscere anche gli obiettivi che l’Agenzia intende raggiungere.
Gli stessi si possono riassumere come segue:
1. Potenziare la capacità nazionale di valutazione e certificazione: Il piano prevede il rafforzamento del Centro di Valutazione e Certificazione Nazionale (CVCN) e dei laboratori accreditati, al fine di sviluppare internamente competenze tecniche e operative che consentano di analizzare vulnerabilità, testare sistemi ICT e garantire la conformità alle norme europee.
2. Introdurre e aggiornare il quadro normativo nazionale in materia di cybersicurezza: Un’azione centrale è la revisione del corpus legislativo nazionale per allinearlo alle direttive europee, semplificare gli obblighi per PA e imprese, e definire ruoli, responsabilità e flussi operativi per la gestione degli incidenti.
3. Aumentare la maturità cyber della Pubblica Amministrazione e del tessuto produttivo: Prevede un percorso di audit, monitoraggio, formazione e adozione di tecnologie adeguate (es. schemi “zero trust”, segmentazione delle reti, gestione identità) per elevare il livello di sicurezza delle infrastrutture critiche nazionali.
4. Implementare un sistema nazionale di risposta e gestione delle crisi cibernetiche: Si pone l’obiettivo di coordinare una rete di CSIRT/ CERT settoriali, istituire un ISAC centrale, organizzare esercitazioni periodiche e garantire modalità rapide di notifica e supporto nelle emergenze digitali.
5. Favorire la ricerca, lo sviluppo tecnologico e l’industria nazionale della cybersicurezza: Il piano dedica attenzione all’innovazione, alla riduzione della dipendenza da tecnologie extra-UE, al sostegno di startup e PMI cyber-tech, alla creazione di infrastrutture dedicate come un “parco nazionale della cybersicurezza”.
Cybersicurezza: ecco come adeguarsi alle disposizioni
Per adeguarsi alla Direttiva NIS 2 le organizzazioni devono pianificare un percorso strutturato di gestione del rischio informatico, monitoraggio degli incidenti, adozione di misure tecniche e organizzative, ma soprattutto investire nella formazione del personale, in quanto è statisticamente provato che il primo canale di accesso degli attacchi informatici sono proprio gli errori umani evitabili e prevenibili.
Il fattore umano, infatti, rappresenta ancora una delle vulnerabilità principali nei sistemi aziendali, che può essere risolta attraverso un'adeguata formazione del personale, per riconoscere i rischi digitali e utilizzare in modo corretto la tecnologia.
In questo contesto, Dirextra Alta Formazione propone due corsi certificati EIPASS che rispondono alle attuali esigenze del settore: il primo è il Corso IT Security – livello avanzato, progettato per sviluppare competenze sistemiche nella protezione delle reti, nella crittografia, gestione degli accessi, implementazione di firewall e nella prevenzione delle minacce informatiche.
Il secondo è il Corso Cybercrimes – livello intermedio, che approfondisce gli aspetti giuridici e criminologici dei reati informatici, fornendo competenze utili per riconoscere frodi digitali, phishing avanzato e attacchi di tipo malware.
Entrambi i percorsi prevedono esame finale, con rilascio di certificazione riconosciuta e spendibile anche in altri contesti pubblici, come concorsi pubblici e formazione del personale scolastico.
Approfondimenti:
Lascia un commento