Cybersecurity e NIS2: l’intervista a Stefano Aversa sui nuovi modelli di governance

Il cambiamento più rilevante introdotto dal D. Lgs. 138/2024 è il passaggio definitivo dalla gestione della Cybersecurity come funzione tecnica a tema strutturale di governance aziendale. La normativa chiarisce che non è più sufficiente adottare singole misure di sicurezza: le organizzazioni devono dimostrare di avere un modello di governo del rischio cyber strutturato, coerente e supervisionato dal Board e dal Top Management.

Questo cambiamento implica che il Board e i decision maker comprendano i rischi digitali, definiscano livelli di accettabilità e assicurino ruoli, responsabilità e processi chiari per gestirli nel tempo. La Cybersecurity diventa così una responsabilità esplicita, non delegabile.

Guardando al 2026, i modelli organizzativi si evolveranno integrando la sicurezza nella strategia aziendale, nella continuità operativa, negli investimenti digitali e nella gestione della Supply Chain digitale.

Le organizzazioni che affronteranno questo cambiamento in modo strutturato rafforzeranno non solo la conformità normativa, ma anche la propria affidabilità e competitività sul mercato.

Le trasformazioni introdotte dal Decreto NIS incidono direttamente sulla resilienza perché spostano l’attenzione dalla risposta all’emergenza alla capacità organizzativa di gestire l’incertezza. La resilienza non dipende solo dalla tecnologia, ma dalla chiarezza dei processi decisionali e dalla preparazione delle persone coinvolte.

Quando ruoli e responsabilità sono definiti in modo chiaro, l’organizzazione è in grado di reagire agli incidenti cyber in modo coordinato, riducendo tempi di indecisione e sovrapposizioni. Il coinvolgimento del Top Management consente inoltre di prendere decisioni rapide e coerenti con le priorità di business, anche in situazioni di crisi.

In questo contesto, la continuità operativa non è più affidata a soluzioni estemporanee, ma diventa frutto di scelte strutturate: gestione dei fornitori critici, piani di risposta agli incidenti, capacità di ripristino e test periodici. Il risultato è una maggiore capacità di assorbire l’impatto degli eventi cyber e di garantire la continuità dei servizi essenziali.

La Direttiva NIS2 stabilisce un principio fondamentale: la responsabilità in Cybersecurity deve essere chiara, attribuibile e verificabile. La formalizzazione dei ruoli è lo strumento che consente di tradurre questo principio in pratica.

Definire ruoli e responsabilità significa stabilire chi è responsabile della valutazione del rischio, chi decide le priorità di intervento, chi gestisce gli incidenti e chi è responsabile della comunicazione verso le autorità e gli stakeholder. Questo approccio riduce le ambiguità organizzative, che sono spesso uno dei principali fattori di rischio.

Dal punto di vista della gestione del rischio, la formalizzazione consente di rendere i processi ripetibili e monitorabili nel tempo. Non si tratta solo di essere conformi a una norma, ma di creare le condizioni per una gestione del rischio cyber più matura, coerente e allineata agli obiettivi aziendali.

Una governance chiara crea un contesto di fiducia, sia all’interno dell’organizzazione sia verso clienti, partner e stakeholder esterni. Quando le responsabilità sono definite, le decisioni diventano più rapide e consapevoli, perché è chiaro chi valuta i rischi e chi ha l’autorità di decidere.

Questo è particolarmente rilevante nei percorsi di innovazione e Digital Transformation. L’introduzione di nuove tecnologie, piattaforme cloud o soluzioni industriali connesse comporta inevitabilmente nuovi rischi. Una struttura di governance solida consente di gestirli senza rallentare l’innovazione, evitando approcci eccessivamente prudenziali o, al contrario, scelte non controllate.

Dal punto di vista del business, una gestione strutturata riduce costi legati a incidenti, interruzioni operative e non conformità, e rafforza la fiducia di clienti e partner. In questo modo, la Cybersecurity diventa un fattore abilitante della crescita e non un semplice centro di costo.

Il Decreto NIS non richiede l’adozione di un framework specifico, ma introduce un principio molto chiaro: la governance della Cybersecurity deve essere coerente, proporzionata al rischio e tracciabile. Questo significa che le organizzazioni devono poter spiegare perché hanno fatto determinate scelte, chi ne è responsabile e come queste scelte vengono monitorate ed evolute.

In questo contesto, i framework internazionali diventano strumenti fondamentali per strutturare ruoli, responsabilità e processi in modo efficace e verificabile.

• Il NIST Cybersecurity Framework 2.0 è particolarmente efficace perché introduce un linguaggio comune tra business, IT e sicurezza. Le sue funzioni (identificare, proteggere, rilevare, rispondere e recuperare) aiutano il management a comprendere dove l’organizzazione è esposta, quali capacità sono presidiate e dove è necessario investire per aumentare la resilienza.
• La ISO/IEC 27001, invece, rappresenta un pilastro per chi vuole strutturare la Cybersecurity come un vero sistema di gestione. È particolarmente utile per formalizzare politiche, ruoli, responsabilità e processi decisionali, creando una base documentale solida che risponde bene alle richieste di NIS2 in termini di accountability e controllo.
• Per le organizzazioni che operano in ambito industriale o OT, la IEC 62443 è fondamentale perché affronta il tema della sicurezza tenendo conto delle esigenze di continuità produttiva e della complessità degli ambienti industriali. Qui la definizione delle responsabilità non è solo un tema organizzativo, ma un fattore critico per la sicurezza fisica e operativa.
• Infine, il COBIT è uno strumento molto efficace per il dialogo con il Board e il Top Management. Aiuta a collegare la Cybersecurity agli obiettivi di business, chiarendo chi decide, chi supervisiona e come vengono misurati i risultati. Questo aspetto è pienamente coerente con lo spirito del Decreto NIS, che attribuisce al management un ruolo attivo e responsabile.

A supporto di questi framework, strumenti come la matrice RACI e i principi di Segregation of Duties consentono di tradurre la strategia in assetti organizzativi concreti. Non si tratta solo di “chi fa cosa”, ma di evitare concentrazioni di potere, ridurre il rischio operativo e rendere la governance trasparente e verificabile.

In sintesi, i framework sono un mezzo, non il fine. Il vero valore sta nella capacità dell’organizzazione di integrarli in un modello di governance coerente con il proprio business, dimostrando che la Cybersecurity è gestita come un rischio strategico e non come una funzione tecnica isolata.

L’applicazione della NIS2 richiede una governance fondata su ruoli chiari, responsabilità definite e competenze coerenti con quanto descritto dall’European Cybersecurity Skills Framework (ECSF). La recente guida ENISA “Cybersecurity roles and skills for NIS2 Essential and Important Entities”, mostra con grande precisione come ciascun obbligo previsto dagli articoli 24 e 25 del Decreto NIS possa essere mappato su specifici profili professionali, interni o esterni all’organizzazione.

Tra i ruoli considerati prioritari, ENISA evidenzia in particolare:

• Chief Information Security Officer (CISO): È il presidio strategico della sicurezza. Definisce la visione, le policy e il modello di governance, coordina il risk management e supervisiona la conformità. In ambito NIS2 svolge un ruolo di raccordo tra sicurezza, vertice aziendale e funzioni operative, garantendo che le decisioni siano documentate, giustificabili e allineate agli obiettivi di business.
• Cyber Risk Manager: È responsabile della valutazione continua dei rischi, inclusi quelli di terze parti e della supply chain. Mantiene aggiornati i risk profile, supporta il management nelle decisioni di investimento e assicura l’adozione delle misure richieste dall’articolo 21 della Direttiva (e dall’art. 24 del D. Lgs. 138/2024). È un ruolo essenziale per rendere il risk-based approach della NIS2 realmente attuabile.
• Cyber Incident Responder (o team di Incident Response): Gestisce il ciclo di vita dell’incidente: rilevazione, analisi, contenimento, ripristino e reporting. La guida ENISA insiste su procedure chiare di incident handling, criteri di classificazione, escalation e comunicazione. Questo presidio consente alle imprese di rispettare puntualmente le tempistiche di notifica previste dall’articolo 23, evitando improvvisazioni nelle fasi più critiche.
• Cyber Legal, Policy & Compliance Officer: Governa gli aspetti regolatori: mantiene la documentazione, assicura l’allineamento alle normative, gestisce audit e interlocuzioni con le autorità. In ottica NIS2, questo ruolo è imprescindibile per rendere la governance trasparente, verificabile e tracciabile, come richiesto dal quadro di supervisione europeo.
• Cybersecurity Implementer: Traduce il modello di sicurezza in controlli tecnici: configurazioni sicure, hardening, patching, accessi, monitoraggio e manutenzione. È l’anello operativo che permette di misurare l’efficacia delle decisioni strategiche e chiudere il ciclo governance–implementazione–audit.

La guida ENISA mostra inoltre che le organizzazioni—incluse le PMI—possono adottare modelli ibridi, combinando ruoli interni con servizi esterni specializzati. L’importante è che compiti, flussi, output e responsabilità siano formalizzati, assicurando continuità operativa e coerenza con il quadro normativo.

Un esempio pratico: una media impresa del settore agroalimentare, classificata come entità importante ai sensi della NIS2, ha definito internamente i ruoli di CISO e Cybersecurity Risk Manager, mentre ha scelto di affidare a un Managed Security Service Provider (MSSP) specializzato due funzioni critiche previste dalla mappatura ENISA: Incident Response e Cyber Threat Intelligence. La compliance regolamentare è stata invece affidata a un Cyber Legal & Compliance Officer,

Quando l’azienda ha subìto un attacco DDoS che ha compromesso parzialmente la rete di produzione, la chiara definizione dei ruoli ha permesso di attivare tempestivamente la risposta, coordinare le azioni tra IT, OT e management, rispettare le tempistiche di notifica previste dalla normativa e mantenere una governance efficace e scalabile, senza la necessità di creare un ampio team interno.

Questo modello ibrido, basato sulla collaborazione strutturata tra competenze interne e servizi gestiti esterni, riflette in modo diretto l’approccio suggerito da ENISA: le organizzazioni possono concentrarsi sui ruoli di governance e direzione strategica, mentre demandano a un MSSP la gestione continuativa delle capacità ad alta specializzazione che richiedono presidio 24/7, strumenti avanzati e personale dedicato.

Per le PMI il punto di partenza non può che essere una comprensione strutturata del proprio contesto di rischio, evitando approcci standardizzati o eccessivamente complessi. Il primo passo consiste nell’identificare quali asset, processi e servizi digitali sono realmente critici per il business: sistemi produttivi, servizi al cliente, dati sensibili, fornitori strategici. In parallelo, il management deve definire quale livello di rischio è accettabile e quali impatti operativi, economici, reputazionali e normativi non sono tollerabili.

Su questa base è possibile costruire un modello di governance essenziale ma solido, coerente con le dimensioni e la complessità dell’organizzazione. Questo significa innanzitutto:

1. Definire i ruoli chiave richiesti dalla NIS2, anche in forma semplificata o accorpata, chiarendo chi è responsabile delle decisioni, chi gestisce il rischio, chi coordina la risposta agli incidenti e chi presidia la conformità. Spesso non serve creare nuove strutture, ma formalizzare responsabilità già presenti in modo informale.
2. Formalizzare i processi critici, dalla gestione del rischio agli incidenti fino alla gestione dei fornitori e delle terze parti. Procedure semplici, se documentate e condivise, aumentano la coerenza operativa e consentono di dimostrare conformità.
3. Introdurre controlli tecnici e organizzativi in modo progressivo, partendo da quelli a maggior impatto sulla resilienza: monitoraggio degli eventi di sicurezza, gestione delle vulnerabilità, backup e piani di risposta agli incidenti. L’obiettivo non è la perfezione, ma la riduzione misurabile del rischio nel tempo.

In questo percorso, il modello MSSP si conferma una leva strategica per le PMI. Affidarsi a un partner MSSP permette di presidiare in modo strutturato funzioni critiche come il SOC, l’Incident Response e la gestione della Cybersecurity, garantendo accesso a competenze avanzate, strumenti tecnologici e monitoraggio continuo difficilmente sostenibili internamente. Allo stesso tempo, il controllo decisionale e la responsabilità restano pienamente in capo all’organizzazione, in linea con i requisiti di governance previsti dalla NIS2.

Affrontata con metodo e gradualità, la conformità NIS2 diventa un percorso di maturazione che rafforza processi, responsabilità e capacità di risposta. Per molte PMI questo rappresenta un cambio di paradigma: la cybersecurity non è più una voce da contenere, ma un fattore strutturale di continuità operativa e affidabilità sul mercato.