Negli ultimi mesi è tornata d'attualità una sigla che molti imprenditori avevano archiviato come "roba da multinazionali": NIS2. È la direttiva europea che alza l'asticella della sicurezza informatica e amplia in modo netto la platea delle aziende coinvolte. Il punto che sfugge alla maggior parte delle PMI è proprio questo: non riguarda solo i "grandi", e spesso le piccole imprese vengono trascinate dentro come fornitori di qualcuno che rientra direttamente.

Cos'è NIS2, in una frase

NIS2 è l'evoluzione della prima direttiva NIS sulla sicurezza delle reti e dei sistemi informativi. L'obiettivo è alzare il livello minimo di sicurezza informatica in tutta l'Unione Europea, imponendo a un numero molto più ampio di organizzazioni misure di gestione del rischio e obblighi di notifica degli incidenti. In Italia è stata recepita con un decreto legislativo che definisce soggetti coinvolti, obblighi e tempistiche.

Chi è coinvolto (e perché potresti esserlo senza saperlo)

La direttiva distingue tra soggetti "essenziali" e "importanti", in settori che vanno dall'energia ai trasporti, dalla sanità alla pubblica amministrazione, fino al digitale e alla gestione dei rifiuti. Il criterio combina settore e dimensione dell'azienda.

Ma c'è un secondo meccanismo, meno visibile e più insidioso per le piccole imprese: la sicurezza della catena di fornitura. Le aziende che rientrano direttamente devono valutare e gestire il rischio legato ai propri fornitori. In pratica, se sei il fornitore IT, di servizi o di software di un'azienda soggetta a NIS2, è molto probabile che ti vengano richiesti requisiti di sicurezza precisi — anche se la tua impresa, da sola, non rientrerebbe.

Per molte PMI la domanda giusta non è "rientro in NIS2?", ma "lavoro con qualcuno che ci rientra?".

Cosa richiede, in concreto

Al di là del linguaggio normativo, gli obblighi si traducono in misure piuttosto concrete e — va detto — in larga parte di buon senso:

  • Gestione del rischio: sapere quali dati e sistemi sono critici e quali rischi corrono.
  • Misure tecniche di base: backup verificati, controllo degli accessi, autenticazione a più fattori, aggiornamenti.
  • Gestione degli incidenti: saper rilevare un attacco e, soprattutto, notificarlo nei tempi previsti.
  • Sicurezza della catena di fornitura: valutare i fornitori e richiedere loro garanzie.
  • Responsabilità della direzione: la sicurezza non è più solo "una cosa dell'IT", ma una responsabilità del vertice aziendale.

Da dove iniziare, senza farsi prendere dal panico

La buona notizia è che la maggior parte di queste misure coincide con ciò che un'azienda dovrebbe già fare per proteggersi, NIS2 o meno. Un percorso pragmatico parte da tre passi:

  1. Capire se e come sei coinvolto. Direttamente per settore e dimensione, oppure indirettamente come fornitore. È la verifica che cambia tutto il resto.
  2. Fotografare lo stato attuale. Cosa proteggi, da cosa, e dove sono i buchi: backup, accessi, aggiornamenti, piano di risposta agli incidenti.
  3. Chiudere prima i rischi che fanno più danni. Non serve fare tutto subito: meglio mettere in sicurezza l'essenziale e procedere per priorità.

Quello che conviene evitare è il contrario: ignorare il tema fino a quando un cliente importante non invia un questionario di sicurezza con scadenza ravvicinata, e trovarsi a rincorrere.

In sintesi

NIS2 non è un adempimento esoterico per sole multinazionali: è un innalzamento generale dello standard di sicurezza che, direttamente o attraverso la filiera, arriva fino alle PMI. Affrontato per tempo e per priorità, è gestibile — e ha l'effetto collaterale di rendere l'azienda davvero più sicura, non solo più conforme.