Uno dei messaggi più chiari emersi durante GlobalNeXt è che la NIS2 non può essere affrontata come un semplice adempimento tecnico. Il cuore della Direttiva è la continuità operativa, intesa come capacità di garantire servizi essenziali anche in condizioni di incidente o crisi.
Marco Cecchi (Omega Sistemi Srl), esperto in cybersecurity e gestione dei sistemi informativi aziendali, realtà del gruppo I-TEAM, ha approfondito il ruolo delle misure tecniche, della gestione degli asset e dei processi di vulnerability assessment come elementi chiave per trasformare gli obblighi normativi in controllo operativo e continuità dei servizi.
“La business continuity non è un piano teorico, ma un insieme di processi che partono dalla conoscenza del business. Significa identificare i servizi critici, comprenderne le dipendenze tecnologiche e organizzative e valutare l’impatto di possibili interruzioni.”
In questo contesto, le attività di vulnerability assessment assumono un ruolo centrale. La NIS2 richiede alle aziende di dimostrare di aver valutato i rischi in modo strutturato, dando priorità alle vulnerabilità che possono compromettere i servizi essenziali. Non tutte le vulnerabilità hanno lo stesso peso: il criterio guida diventa l’impatto sul business.
Un altro pilastro è la gestione degli asset. Non è possibile proteggere ciò che non si conosce. Le organizzazioni devono disporre di una visione chiara e aggiornata dei sistemi informativi e di rete rilevanti, degli asset critici e delle dipendenze dai fornitori. Questo inventario rappresenta la base per definire misure di sicurezza efficaci e piani di risposta agli incidenti.
La NIS2 parla esplicitamente di misure tecniche e organizzative. Le tecnologie sono fondamentali, ma non sufficienti se non inserite in un modello di governance chiaro, con ruoli, responsabilità e flussi decisionali definiti prima che si verifichi un incidente.
Il messaggio emerso dal confronto è che la NIS2 può diventare un fattore di maturità. Le aziende che strutturano processi di gestione del rischio e continuità operativa non solo rispettano la norma, ma migliorano l’affidabilità complessiva dei propri servizi.