A che punto siamo con la sicurezza digitale? Tra progressi normativi e scarsa consapevolezza manageriale, l’Italia si trova a fare i conti con un anno di luci e ombre nella messa a terra della Direttiva NIS2. Continua a leggere per scoprire lo stato dell’arte, le criticità e le sfide future per imprese e istituzioni.
Un anno può sembrare poco, ma nel mondo della cybersecurity è un tempo sufficiente per capire se un sistema normativo funziona davvero.
È trascorso poco più di un anno dall’entrata in vigore del Decreto Legislativo 138/2024, che ha recepito in Italia la Direttiva NIS2 – il più importante intervento europeo in materia di sicurezza digitale.
L’obiettivo è chiaro e ambizioso: costruire un’Europa resiliente, capace di prevenire, gestire e reagire a minacce informatiche sempre più sofisticate. Ma la strada verso la piena attuazione è tutt’altro che in discesa.
In Italia, nonostante la rapidità nel recepire la norma, il percorso di consapevolezza e adeguamento è ancora in gran parte da costruire. Un dato, su tutti, racconta questa distanza: secondo una recente indagine del Marketing Lhab dell’Università di Bergamo, solo il 7,1% dei manager italiani intervistati ha sentito parlare della Direttiva NIS2.
Un numero che apre interrogativi profondi sul livello di maturità digitale del nostro tessuto produttivo e che ci invita a riflettere su quanto la sicurezza informatica sia ancora percepita più come un costo che come un investimento strategico.
L’Italia e la tempestività del recepimento
Ripercorriamo la sua storia.
La NIS2 nasce in risposta a una realtà: il cyberspazio è ormai il nuovo territorio geopolitico.
Negli ultimi anni, gli attacchi informatici hanno colpito ospedali, enti pubblici, banche, reti di trasporto e aziende energetiche.
Rispetto alla NIS1 del 2016, la nuova direttiva amplia il perimetro di applicazione: più settori, più responsabilità, più rigore.
Dai servizi essenziali — energia, acqua, sanità, trasporti — si passa a un tessuto molto più esteso di soggetti “importanti”, includendo filiere industriali, logistiche, alimentari, manifatturiere e tecnologiche.
In questo scenario, l’Italia si è mossa con sorprendente tempestività.
Con il Decreto Legislativo 138/2024, entrato in vigore il 16 ottobre 2024, il nostro Paese ha dimostrato una prontezza che non è scontata in ambito normativo, tanto più se si considera che molte altre nazioni dell’UE erano ancora in fase di definizione dei propri testi attuativi.
Il merito va anche all’Agenzia per la Cybersicurezza Nazionale (ACN), che ha assunto un ruolo di guida, elaborando linee operative, determinazioni tecniche e una piattaforma digitale per la registrazione dei soggetti essenziali e importanti.
Sulla carta, un sistema efficiente e completo. Nella pratica, tuttavia, l’applicazione ha rivelato un’Italia a due velocità: le grandi aziende, dotate di team interni e sistemi di governance avanzata, hanno reagito rapidamente; le PMI, invece, spesso ancora prive di figure specializzate e risorse dedicate, faticano a interpretare gli obblighi e a tradurli in azioni concrete.
I risultati dello studio dell’Università di Bergamo
I dati del Marketing Lhab dell’Università di Bergamo hanno messo a nudo questa distanza.
Su 2.800 manager contattati, solo il 7,1% ha dichiarato di conoscere la Direttiva NIS2.
Un numero che colpisce più di qualsiasi statistica tecnica, perché racconta una realtà profonda: la sicurezza informatica, in Italia, è ancora troppo spesso percepita come “materia per esperti”, non come responsabilità strategica.
Eppure, i numeri raccontano anche una potenzialità:
- il 76% delle aziende dispone già di strumenti di protezione informatica;
- il 62,5% ha piani di disaster recovery;
- l’82,5% organizza corsi di formazione per il personale.
Le basi ci sono, ma manca ancora la visione unificante, quella cultura della prevenzione che consente di trasformare la difesa in un fattore competitivo (fonte: larepubblica.it).
Cyber Security 2025: la vulnerabilità come specchio dell’innovazione
È in questo scenario che si inserisce il recente evento “Cyber Security 2025. Oltre l’adeguamento normativo: sicurezza e competitività”, promosso da Assolombarda in collaborazione con l’ACN e con il patrocinio di AIPSA. Un appuntamento che ha segnato un punto di svolta nel dibattito pubblico sulla sicurezza digitale in Italia.
Attraverso tavole rotonde, discussioni e sessioni tecniche che hanno coinvolto imprese, istituzioni e ricercatori/trici, è emersa una fotografia precisa del Paese: un territorio ad alta intensità tecnologica ma anche ad alta vulnerabilità.
Le aziende italiane, sempre più digitalizzate e interconnesse, si muovono in un ambiente dove la minaccia informatica cresce in modo esponenziale, sia per frequenza che per sofisticazione.
Nel primo semestre del 2025, il 44% degli attacchi informatici rilevati è stato riconducibile all’intelligenza artificiale, un incremento impressionante rispetto al 19% registrato nella seconda metà del 2024. Un’evoluzione che evidenzia come la frontiera della minaccia si stia spostando verso una dimensione autonoma, adattiva, capace di apprendere e ingannare.
Ma se la vulnerabilità cresce, cresce anche la consapevolezza.
Come ha sottolineato Stefano Biffi, presidente di Assolombarda, nel suo intervento:
“Serve una collaborazione strutturata tra imprese, ACN, Politecnico di Milano e Polizia Postale, per diffondere una cultura della sicurezza digitale e costruire infrastrutture realmente resilienti”. – (fonte: https://euroborsa.it/Cyber-Security-2025-attacchi-in-sei-mesi.aspx)
Nessuno può salvarsi da solo.
Le scadenze NIS2 del 2026: la transizione verso la maturità normativa
Con l’avvicinarsi del 2026, la Direttiva NIS2 entra nel vivo della sua seconda fase attuativa, quella in cui il quadro normativo si traduce in azioni concrete e la sicurezza diventa una dimensione misurabile della governance aziendale.
È il momento per le imprese di consolidare i meccanismi di monitoraggio e di definire procedure operative coerenti con il calendario fissato dal decreto:
- Da gennaio 2026: obbligo di notifica di base;
- Entro aprile 2026: elaborazione e adozione del modello di categorizzazione delle attività e dei servizi; elaborazione e adozione degli obblighi a lungo termine;
- Entro settembre 2026: completa implementazione delle misure di sicurezza di base.
Da metà aprile 2026 inizierà la terza fase attuativa, focalizzata sul perfezionamento della categorizzazione e sull’implementazione definitiva degli obblighi a lungo termine.
Sarà interessante osservare come il sistema risponderà a queste sfide, anche alla luce dei nuovi dati raccolti nel Rapporto Clusit – la cui pubblicazione è prevista per il prossimo 5 novembre – relativo al primo semestre 2025, che offriranno un quadro aggiornato sul livello di maturità della sicurezza informatica nel Paese e sulle sfide ancora aperte per imprese e istituzioni.
