NIS 2, solo il 16% delle aziende si considera conforme. Allarme capacità di esecuzione dei requisiti
La direttiva NIS 2 sta ridisegnando il perimetro della cybersecurity europea, ma la sua implementazione resta incompleta: solo il 16% delle aziende si considera conforme. In questo scarto tra requisiti normativi e capacità di esecuzione prende forma anche un altro elemento chiave: un ruolo sempre più centrale per il canale e per i partner tecnologici, chiamati a trasformare obblighi regolatori in processi operativi sostenibili
A oltre un anno dall’effettiva entrata in vigore della NIS 2, la compliance resta un obiettivo lontano per la maggior parte delle imprese europee. Solo il 16% delle organizzazioni si dichiara pienamente conforme, secondo il report NIS2 Survey condotto da CyberSmart in UK, Polonia, Olanda, Irlanda, Francia, Germania, Italia, Danimarca e Belgio e pubblicato in questi giorni.
Il dato, preso isolatamente, potrebbe suggerire un ritardo fisiologico. La lettura più interessante sta però altrove: le aziende non stanno ignorando la direttiva, stanno faticando a implementarla. È una differenza sostanziale, che sposta il tema da una questione di priorità strategica a un problema di esecuzione operativa, e che apre inevitabilmente spazio a competenze esterne in grado di accompagnare questo passaggio.
[ NIS 2: obblighi, soluzioni, agevolazioni. Tutto quello che serve sapere il prossimo 15 maggio a Milano presso Talent Garden Calabiana, Via Arcivescovo Calabiana 6. Un evento straordinario con esperti, numeri esclusivi, professionisti on stage. Tutti i dettagli per partecipare sono qui]
NIS 2: compliance bassa, ma consapevolezza alta
Uno degli elementi più evidenti è il disallineamento tra percezione e capacità di esecuzione.
Da un lato, la consapevolezza è diffusa. Il 75% delle aziende riconosce un vantaggio competitivo nella conformità alla NIS2 e il tema è ormai arrivato ai vertici aziendali: nel 60% dei casi la responsabilità è in capo a board o C-level.
Dall’altro lato, la compliance effettiva resta limitata perché l’adozione delle misure è ancora parziale e frammentata. Molte aziende hanno già introdotto controlli di base – come la formazione del personale, la cifratura dei dati o i sistemi di backup – ma senza integrarli in un framework completo di gestione del rischio e risposta agli incidenti. Il 44% delle imprese ha attivato programmi di formazione e il 37% utilizza tecniche di cifratura: segnali di una maggiore attenzione alla sicurezza che però non si traducono automaticamente in conformità alla direttiva.
Ne emerge un quadro tipico delle fasi di transizione normativa: l’adozione procede per iniziative isolate, più che attraverso un disegno strutturato e coerente.
Il nodo si sposta dunque dal piano normativo a quello operativo. Le aziende si scontrano con vincoli di budget, difficoltà di interpretazione e mancanza di competenze, alle quali si aggiunge la complessità di estendere le valutazioni di rischio all’intera supply chain. Più che un problema di priorità, emerge quindi una difficoltà di esecuzione: trasformare requisiti formali in processi strutturati e sostenibili nel tempo.
Nis 2 cos’è, quando è entrata in vigore e a che punto siamo: tutto quello che serve sapere
Nis 2 in Italia ed Europa: maturità normativa, fatica operativa
Un passaggio particolarmente significativo riguarda il breakdown geografico che include Italia, Germania e Francia, tre mercati che presentano dinamiche molto vicine tra loro. In questo perimetro emerge una cultura della responsabilità ormai consolidata, con una diffusione ampia dell’accountability a livello di CEO e top management.
Accanto a questa maturità, però, cresce in modo evidente la pressione normativa. Il 44% delle aziende ritiene che le regolazioni siano troppe e il 39% segnala sovrapposizioni tra framework diversi, segno di una “regulation fatigue” sempre più diffusa. Un dato particolarmente rilevante per il contesto italiano, dove la NIS 2 si innesta su un ecosistema già stratificato che comprende GDPR, DORA e altri standard settoriali.
Ne emerge un equilibrio fragile: all’aumentare della maturità normativa cresce anche il carico organizzativo richiesto alle imprese. Ed è proprio in questo squilibrio che si annida il rischio principale, ovvero una compliance che resta parziale non per mancanza di consapevolezza, ma per eccesso di complessità.
[ NIS 2: obblighi, soluzioni, agevolazioni. Tutto quello che serve sapere il prossimo 15 maggio a Milano presso Talent Garden Calabiana, Via Arcivescovo Calabiana 6. Un evento straordinario con esperti, numeri esclusivi, professionisti on stage. Tutti i dettagli per partecipare sono qui]
Dalla compliance “a progetto” alla compliance continua
La compliance cambia natura e paradigma.
Le aziende non stanno affrontando solo NIS 2, ma una pluralità di normative contemporaneamente: il 42% deve rispettare NIS2, il 34% il Cybersecurity Act, il 30% il GDPR, oltre ad altri standard come ISO 27001.
Questa sovrapposizione genera due effetti. Sul piano organizzativo, cresce la necessità di strutture dedicate alla compliance, con il 39% delle aziende che ha introdotto figure specifiche come Chief Compliance Officer. Sul piano strategico, cambia il modo stesso in cui viene interpretata: la compliance smette di essere un’attività una tantum e diventa un processo continuo.
È qui che si gioca una delle trasformazioni più rilevanti. Non si tratta più di ottenere una certificazione, ma di mantenere nel tempo un livello di sicurezza e governance coerente con requisiti normativi in evoluzione.
Il ruolo crescente dell’ecosistema: partner, clienti, investitori
La pressione sulla compliance non si esaurisce nel rapporto con il regolatore, ma si estende sempre più lungo la filiera. Il 42% delle aziende si è già visto chiedere di dimostrare il proprio livello di conformità da partner, il 41% da investitori e il 36% da clienti o prospect.
Questo passaggio è tutt’altro che marginale. La NIS2 introduce, di fatto, un criterio di selezione che agisce direttamente sulle relazioni economiche. La sicurezza diventa una condizione di accesso, non un elemento differenziante da comunicare a posteriori. In altre parole, la fiducia smette di essere implicita e si trasforma in un requisito da dimostrare, documentare e aggiornare nel tempo.
Le implicazioni sono profonde: la compliance entra nei processi di due diligence, influenza le decisioni di investimento e diventa parte integrante delle dinamiche commerciali. Per molte aziende, questo significa che il tema non riguarda più soltanto la gestione del rischio interno, ma la possibilità stessa di operare all’interno di determinate filiere e mercati.
Una nuova opportunità per il canale e i servizi gestiti
È proprio in questo scarto tra requisiti normativi e capacità di esecuzione che si apre uno spazio concreto per il mercato dei servizi. La difficoltà non è tanto comprendere cosa richiede la compliance, quanto riuscire a sostenerla nel tempo, coordinando processi, tecnologie e responsabilità su più livelli e su più framework contemporaneamente.
Questo cambia in modo sostanziale il ruolo dei partner tecnologici, in particolare degli MSP. La richiesta che emerge non è più quella di interventi puntuali o progetti di adeguamento, ma di un supporto continuativo che accompagni le aziende nella gestione operativa della sicurezza e della compliance. Significa integrare monitoraggio, gestione delle vulnerabilità, formazione e governance in un modello coerente, capace di adattarsi a requisiti normativi in evoluzione.
Il passaggio ha implicazioni dirette anche sul modello di business: dalla logica progettuale a quella ricorrente. La compliance diventa un servizio gestito, strutturato e scalabile.
[ NIS 2: obblighi, soluzioni, agevolazioni. Tutto quello che serve sapere il prossimo 15 maggio a Milano presso Talent Garden Calabiana, Via Arcivescovo Calabiana 6. Un evento straordinario con esperti, numeri esclusivi, professionisti on stage. Tutti i dettagli per partecipare sono qui]
Dalla compliance alla resilienza: le indicazioni operative per gli MSP
Il report si conclude con alcune indicazioni operative per gli MSP organizzate lungo quattro direttrici piuttosto nette, tutte legate alla necessità di rendere la compliance sostenibile nel tempo.
1- Automazione
La prima riguarda l’automazione: molte delle attività richieste – dalla formazione del personale al monitoraggio delle vulnerabilità e delle minacce – restano onerose in termini di tempo e risorse, e possono essere gestite in modo più efficiente attraverso strumenti dedicati. Non è solo una questione tecnologica, ma di scalabilità operativa, sia per le aziende sia per i provider che le supportano.
2 – Approccio multinormativo
La seconda direttrice riguarda il superamento di un approccio per singola normativa. La sovrapposizione tra NIS2, DORA, GDPR e altri framework non è solo un fattore di complessità, ma anche un’opportunità per costruire servizi trasversali che lavorano sui requisiti comuni – gestione del rischio, formazione, pianificazione degli incidenti, controllo degli accessi – e che permettono di affrontare più obblighi contemporaneamente all’interno di un modello coerente.
3 – Supply chain
Un terzo ambito, più specifico ma sempre più critico, è quello della supply chain. La difficoltà nell’ottenere visibilità sui rischi lungo tutta la filiera resta uno dei principali punti di fragilità per le aziende, e apre spazio a servizi e piattaforme in grado di definire standard minimi di sicurezza e monitorare in modo continuativo fornitori e partner.
4 – Resilienza
Infine, cambia anche il messaggio di fondo. La compliance tende ancora a essere percepita come un esercizio formale, un insieme di requisiti da soddisfare. L’indicazione è invece quella di spostare il focus sulla resilienza: la capacità di prevenire incidenti, mantenere la continuità operativa e rafforzare la fiducia di clienti e partner. In questa prospettiva, la conformità non è il fine, ma una conseguenza di un approccio più strutturato alla sicurezza.
