Considerare le nuove normative europee sulla cyber security – NIS 2 e CER in primis – solo l’ennesimo elenco di obblighi formali a cui adempiere sarebbe un imperdonabile errore di prospettiva. Oggi la compliance in tema di cyber security è diventata infatti una vera e propria condizione essenziale per poter restare competitivi e operare nelle filiere produttive. In breve: chi non sarà sicuro, rischia semplicemente di non poter più lavorare. È questo il messaggio arrivato dalla Cyber & Security Arena della fiera Sicurezza in Fieramilano, dove ANIE Sicurezza e ASSIV hanno riunito istituzioni e mercato per approfondire questi aspetti. Ecco cosa è emerso dal confronto.

La normativa NIS 2 come driver di competitività

Il contesto è stato delineato in apertura da Giulio Iucci, Vice Presidente Federazione ANIE con delega alla Digitalizzazione, che ha ricordato la centralità strategica del tema: “Il cyberspazio è ormai definito dall’Unione Europea come il quinto dominio operativo, dopo terra, acqua, aria e spazio. Questo significa che l’attenzione è massima: le aziende inserite nelle filiere produttive, anche le più piccole, devono essere consapevoli che per continuare a lavorare con settori sensibili o con la Pubblica Amministrazione sarà indispensabile essere compliant con i processi della NIS 2″.

Sulla stessa linea Maria Cristina Urbano, Presidente ASSIV, che ha evidenziato l’ormai inevitabile convergenza tra sicurezza fisica e logica: “Qualcuno potrebbe chiedersi cosa ci faccia la vigilanza in un comparto tecnologico, ma è una scelta lungimirante: oggi il nostro lavoro è un mix inscindibile di uomini e tecnologie. Per il nostro comparto non si può più mettere la polvere sotto il tappeto: l’adeguamento normativo, per quanto possa sembrare un ostacolo, deve trasformarsi in un’opportunità per evolvere e restare sul mercato”.

A chiudere il quadro istituzionale è stato Andrea Monteleone, Presidente di ANIE Sicurezza, che ha voluto sgombrare il campo dai timori legati alla burocrazia: “Queste norme non sono solo un appello normativo al quale sottostare, ma strumenti indispensabili per evolvere. Devono diventare un driver per la competitività e per la resilienza, che è un concetto molto più ampio e articolato della sola sicurezza”.

La supply chain è l’anello debole della catena

Ad aprire i lavori offrendo una prospettiva europea è stato Marnix Dekker, capo settore dell’Unità di resilienza delle infrastrutture dei settori critici di ENISA, l’Agenzia europea per la cybersecurity, che ha dipinto uno scenario in cui le autorità nazionali non devono limitarsi a sanzionare, ma devono facilitare il percorso delle imprese.

“Il ruolo delle autorità deve somigliare a quello dei giocatori di curling”, ha spiegato Dekker con una metafora efficace. “Devono lisciare il ghiaccio affinché le aziende possano scorrere veloci verso l’obiettivo della sicurezza”.

La minaccia principale identificata da ENISA non riguarda tanto i grandi player, ormai strutturati, ma la “massa” di imprese, spesso piccole o medie, della supply chain. “Gli attaccanti cercano le vie più facili per entrare e spesso queste passano attraverso un fornitore”, ha avvertito Dekker, citando i recenti disservizi aeroportuali a Bruxelles e Berlino causati da attacchi a terze parti.

Ma il monito di Dekker è andato oltre il semplice malware, toccando il tema critico dello spionaggio industriale e della geopolitica. “Attori statali come Cina o Russia possono infiltrarsi nei sistemi per sottrarre proprietà intellettuale e disegni tecnici. Magari i primi anni non notiamo niente”, ha spiegato, “ma in 10-15 anni potremmo dover chiudere le fabbriche perché non siamo più in grado di affrontare la competizione globale”.

Da qui l’invito netto ad abbandonare un approccio puramente burocratico: “State lontani dalle discussioni legali su se siete o meno nello scopo della norma. Agli attaccanti non interessano le virgole delle leggi. Se siete l’anello debole, vi colpiranno“. Citando i recenti rapporti Draghi e Niinistö, Dekker ha concluso ricordando che l’Europa deve tornare a essere un continente che produce tecnologia e innovazione, non solo regole, e che la sicurezza deve essere un abilitatore di questo processo, non un freno.

Le prossime tappe per l’Italia tra NIS 2 e CER

Sul piano nazionale, Lorenzo D’Agata del Ministero delle Imprese e del Made in Italy ha confermato che l’Italia è tra gli Stati membri più avanzati nell’attuazione, avendo recepito tempestivamente la NIS2 con il D.Lgs. n. 138 del 4 settembre 2024. La fase di registrazione sul portale dell’Agenzia per la Cybersicurezza Nazionale (ACN), conclusasi formalmente ma estesa in casi motivati fino a luglio 2025, ha visto un’adesione massiccia: sono circa 20.000 i soggetti coinvolti tra pubblici e privati, di cui oltre 10.000 afferenti ai settori di competenza del MIMIT.

Il 2026 sarà l’anno della svolta operativa, con un calendario serrato che non ammette ritardi:

• 1° Gennaio 2026: Scatta l’obbligo di notifica degli incidenti con tempistiche stringenti: pre-notifica entro 24 ore, notifica completa entro 72 ore e report finale entro un mese.
• Ottobre 2026: Entrano in vigore le misure tecniche e organizzative di base (Determinazione ACN n. 164179/2025). Si tratta di requisiti rigorosi: 43 misure con 116 requisiti per i soggetti “essenziali” e 37 misure con 87 requisiti per quelli “importanti”.
• Controlli e Audit: Da ottobre partiranno anche le verifiche dell’ACN sulla reale conformità, con possibili sanzioni.

Parallelamente avanza anche la Direttiva CER sulla resilienza delle entità critiche (recepita con D.Lgs. n. 134/2024). A gennaio 2026 le Autorità di Settore identificheranno ufficialmente gli elenchi delle entità critiche, mentre a luglio è atteso il primo rapporto nazionale sulla resilienza. “Al di là dell’onere burocratico”, ha concluso D’Agata, “questo percorso è un’opportunità strategica: essere conformi significa ridurre i rischi legali e reputazionali, ma soprattutto accedere a opportunità di business con grandi clienti e Pubblica Amministrazione che richiederanno fornitori con standard elevati”.

Il divario di maturità digitale: il caso Lombardia

Se le scadenze sono chiare, la prontezza del tessuto imprenditoriale lo è meno. Maria Rosa Marchetti, Dirigente dell’Unità Organizzativa Internazionalizzazione, Export e Digitalizzazione della Regione Lombardia,ha portato i dati di un’analisi condotta su un campione di 1.000 imprese che hanno partecipato a bandi regionali per la transizione digitale.

L’analisi rivela una fotografia a tinte miste. Il segnale positivo è che il 60% delle richieste di finanziamento riguardava progetti che integravano sicurezza e cloud, dimostrando una crescente consapevolezza che non esiste digitalizzazione senza protezione. Tuttavia, il livello di partenza della maturità digitale resta critico: il 10% delle imprese è ancora a un livello base, con tecnologie adottate ma non integrate; il 30% mostra un’integrazione parziale, ma con una sicurezza non ancora strutturata; solo il 20% del campione raggiunge un livello di maturità digitale definibile come strutturato ed evoluto.

Per colmare questo gap la Regione sta lavorando su due fronti. Da un lato, la creazione delle Zone di Innovazione Speciale (ZIS), concepite come ecosistemi per favorire la contaminazione e la ricerca. Dall’altro, un forte investimento sulle competenze manageriali. “Le competenze tecniche si trovano sul mercato”, ha osservato Marchetti, “quello che spesso manca, soprattutto nelle numerose imprese familiari lombarde, è la consapevolezza manageriale del rischio. L’imprenditore deve capire che la sicurezza non è un tecnicismo, ma un fattore abilitante per la continuità del business”.

Iaria: “Poche risorse per supportare le imprese”

Il confronto politico ha evidenziato approcci divergenti sulla visione strategica e sulla gestione delle risorse. L’onorevole Antonino Iaria (M5S), intervenuto in collegamento, ha espresso forte preoccupazione per il ritardo biennale nell’emanazione dei decreti attuativi e per una Legge di Bilancio definita “povera di contenuti e di soldi”.

“In Italia – ha detto – abbiamo pochissime PMI che investono in cybersicurezza e intelligenza artificiale”, che ha poi citato il mancato utilizzo dei fondi di Transizione 5.0 come un’occasione persa. “Mentre paesi come la Spagna investono massicciamente e vedono crescere il PIL, noi rischiamo di restare indietro”. L’onorevole ha poi sollevato un tema critico riguardo la distribuzione dei fondi: “Il Ministro Crosetto chiede più risorse per la sicurezza militare. Il timore è che gli unici soldi che si troveranno andranno lì, lasciando a secco le PMI che invece devono competere sul mercato digitale”.

Amich: “Quadro attuativo semplice e proporzionato”

Di tenore opposto il messaggio dell’onorevole Enzo Amich (FdI), che ha ribadito come la sicurezza debba essere intesa come “tema di Stato”. Amich ha sottolineato che il passaggio dalla vecchia direttiva del 2016 alla NIS 2 del 2022 non è un semplice aggiornamento tecnico, ma un cambio necessario per affrontare le minacce ibride, dove rischio cyber e fisico si fondono. “La sicurezza è un costo, ma soprattutto un investimento”, ha affermato Amich. “Il nostro obiettivo in Parlamento è stato trasformare norme complesse in un quadro attuativo semplice e proporzionato. La sicurezza deve essere forte ed efficace, non soffocante per le imprese”.

Pennasilico: “Le vulnerabilità hanno un impatto anche economico e sociale”

È nel panel conclusivo con le associazioni di categoria che il dibattito ha toccato i tasti più concreti per l’industria, smontando la retorica puramente sanzionatoria. Alessio Pennasilico, membro del direttivo del Clusit, ha utilizzato una metafora efficace: “Le norme oggi servono come guida di sopravvivenza in un ambiente ostile. Sono come i freni dell’auto: non servono solo a fermarsi, ma a permetterti di andare veloce in sicurezza”. Pennasilico ha poi evidenziato un dato storico: l’impennata degli incidenti registrati in Europa a partire dal 2018 coincide con l’introduzione del GDPR e l’obbligo di trasparenza, segnando un sorpasso statistico sugli Stati Uniti. Ma il vero punto cruciale è l’impatto sociale: “Un incidente cyber non ferma solo i computer. Può bloccare impianti produttivi, mettendo centinaia di lavoratori in cassa integrazione e riducendo il potere d’acquisto delle famiglie sul territorio. Nei casi peggiori, il malfunzionamento di sistemi OT può causare danni all’ambiente o alle persone“.

Reyes Vazquez: “Anche il mondo della vigilanza deve considerare l’impatto del Digitale”

La sfida culturale è stata al centro dell’intervento di Yolanda Reyes Vazquez di ASSIV. Nel settore della vigilanza privata l’integrazione tra fisico e digitale è ormai totale, ma la consapevolezza fatica a tenere il passo. “Dobbiamo superare la logica a silos. Un dispositivo di sicurezza fisica non adeguatamente protetto diventa un punto di ingresso per compromettere l’intera rete del cliente”, ha spiegato. Reyes Vazquez ha portato l’esperienza di Axitea, facilitata nel percorso di compliance dall’avere già una certificazione ISO 27001, ma ha anche sollevato una criticità operativa molto pratica: la difficoltà per le aziende di individuare internamente la nuova figura richiesta dalla normativa per la gestione e notifica degli incidenti al CSIRT, un ruolo che richiede competenze tecniche e procedurali non comuni.

Monteleone: “Il vero rischio? L’esclusione dal mercato”

La sintesi finale, che guarda anche alle sfide future, è arrivata da Andrea Monteleone, presidente di ANIE Sicurezza. “Il vero rischio non è la sanzione dell’autorità, ma l’esclusione dal mercato. Un’azienda che non gestisce il rischio diventa inaffidabile e viene scartata dai clienti”, ha affermato Monteleone, citando il caso emblematico di Jaguar Land Rover, dove un attacco ransomware ha richiesto un intervento governativo miliardario non per salvare l’azienda, ma per mitigare l’impatto sociale sulla comunità.

Guardando oltre la NIS 2, Monteleone ha lanciato un avvertimento sul prossimo Cyber Resilience Act (CRA), che imporrà la security by design su ogni prodotto connesso. “Siamo seduti su una polveriera”, ha concluso il Presidente. “L’oggetto intrinsecamente sicuro non basta: se installato male in un sistema complesso, diventa il punto più vulnerabile. Spesso compriamo firewall scintillanti ma manca chi sappia configurarli in architetture complesse. Il CRA ci obbligherà a ripensare radicalmente non solo i prodotti, ma l’intero ciclo di vita della tecnologia che portiamo nelle aziende e nelle case”.