Settembre 8, 2025
Il contesto: perché il finance non può permettersi fragilità La continuità operativa è oggi una delle condizioni essenziali per il mondo bancario, finanziario e assicurativo. Un […]
La direttiva NIS2 è entrata in vigore in Italia nell’ottobre 2024, ma a un anno di distanza il quadro resta preoccupante: migliaia di aziende non hanno ancora avviato un piano concreto di adeguamento.
Estimates indicate that over 14,000–16,000 Italian organizations are involved across finance, energy, healthcare, industry, and digital infrastructure. This highlights the systemic scope of the directive, but only a fraction of these companies have allocated budgets, skills, and governance aligned with regulatory requirements. For many, the risk is to remain unprepared at a time when digital resilience is no longer optional, but an operational obligation.
Dietro l’ottimismo dichiarato si nasconde una realtà molto diversa. Secondo una ricerca condotta da Zscaler, il 77% dei responsabili IT italiani è convinto di raggiungere la conformità entro la scadenza, ma meno della metà (48%) afferma di conoscere davvero i requisiti della direttiva. Il divario tra percezione e consapevolezza concreta è evidente.
Anche sul piano operativo emergono segnali critici: solo il 23% delle aziende italiane definisce “eccellenti” le proprie pratiche di sicurezza, mentre nel resto dell’area EMEA ben il 66% delle organizzazioni dichiara di non riuscire a rispettare le scadenze. Una tendenza che non risparmia l’Italia, dove il rischio di ritardi è accentuato dalla frammentazione degli investimenti.
La spesa media per la cybersecurity si attesta intorno a 1,4 milioni di euro l’anno, ma nella maggior parte dei casi è distribuita su strumenti e iniziative scollegate, anziché su una strategia strutturata di adeguamento alla NIS2. È questo uno dei motivi principali per cui la compliance resta lontana: senza governance chiara e un approccio integrato, gli investimenti non producono l’effetto atteso.
Negli ultimi mesi, abbiamo somministrato alle principali aziende italiane un questionario dedicato alla NIS2, con l’obiettivo di fotografare il reale stato di avanzamento verso la conformità rispetto alle specifiche aree tematiche del regolamento.
L’indagine ha coinvolto circa 150 organizzazioni appartenenti ai settori interessati dalla direttiva, come finance, insurance, energy & utilities, retail e industria manifatturiera. Lo studio non si è limitato a chiedere “siete conformi o no?”, ma ha analizzato in dettaglio il livello di maturità su aree critiche come governance, gestione degli asset, incident response e sicurezza della supply chain.
Dall’analisi delle risposte è emerso un quadro chiaro: molte imprese hanno avviato percorsi di adeguamento, ma la distanza tra “parziale conformità” e “conformità piena” resta ancora significativa. Da questo questionario abbiamo ricavato lo scenario che segue, con una sintesi per ciascuna area tematica in tre livelli di conformità Critico, Parziale e Conforme che permettono di valutare a colpo d’occhio il grado di attuale posizionamento delle aziende italiane.
Legenda: 🟢 Conforme 🟡 Parziale 🔴 Critico
Il cuore della NIS2 è la governance del rischio, ma i dati mostrano un evidente ritardo: il 77,3% delle aziende si limita a iniziative parziali e solo il 13,6% ha raggiunto la conformità. Questo significa che la maggior parte delle imprese non dispone ancora di un modello strutturato per integrare il rischio cyber nelle decisioni strategiche. È un gap critico, perché senza una governance solida l’intera organizzazione resta vulnerabile, indipendentemente dagli strumenti tecnici adottati.
Quasi la metà delle aziende (45,5%) si trova in una fase intermedia, ma colpisce che oltre un quarto (27,3%) sia ancora in uno stato critico. Lo stesso valore (27,3%) rappresenta le realtà già conformi, segno che esiste un forte divario nel mercato: alcune organizzazioni hanno avviato un percorso strutturato, altre invece rimangono esposte. La NIS2 rende queste misure obbligatorie, e il loro mancato adeguamento non è solo un problema di compliance, ma di resilienza complessiva
La gestione dei fornitori è l’anello più fragile della catena: oltre un terzo delle aziende (36,4%) è in stato critico e la metà (50%) ha solo parzialmente affrontato il tema. Soltanto il 13,6% ha implementato controlli adeguati. Questo dato conferma quanto la supply chain sia un punto di ingresso privilegiato per gli attacchi informatici e quanto la direttiva insista sulla necessità di estendere la sicurezza oltre i confini aziendali. Ignorare questa area significa moltiplicare i rischi lungo l’intero ecosistema operativo.
La capacità di rilevare e rispondere tempestivamente agli incidenti è centrale nella NIS2, ma i numeri sono allarmanti: solo il 4,5% delle aziende è conforme, mentre il 68,2% resta a un livello parziale e il 27,3% in piena criticità. Questo significa che, in caso di attacco, la maggioranza delle organizzazioni non sarebbe in grado di gestire correttamente la crisi né di rispettare gli obblighi di notifica previsti dalla direttiva. È un rischio diretto non solo per la business continuity, ma anche per la credibilità aziendale sul mercato.
La business continuity è un obbligo operativo imposto dalla direttiva, ma qui i numeri parlano chiaro: 45,5% critico, 45,5% parziale, solo 9,1% conforme. Molte aziende non dispongono ancora di piani di continuità realmente testati e aggiornati. Questo è particolarmente grave, perché un’interruzione prolungata dei servizi essenziali non si traduce solo in perdite economiche, ma anche in danni sociali e reputazionali, difficili da recuperare.
È l’area che registra il miglior risultato in merito alla conformità: il 40,9% delle aziende è conforme e oltre la metà (54,5%) si trova in stato parziale. Solo un 4,5% è critico. Questo mostra che le imprese hanno compreso l’importanza del fattore umano e stanno investendo in programmi di sensibilizzazione. Tuttavia, la formazione deve evolvere da attività sporadiche a percorsi continui, per trasformare la consapevolezza in una vera cultura della sicurezza.
Il monitoraggio costante e gli audit regolari sono la base di un modello resiliente. In Italia, però, la situazione è ancora disomogenea: 45,5% parziale, 27,3% conforme e 27,3% critico. Questo significa che molte aziende hanno introdotto strumenti di controllo, ma senza la regolarità e la profondità necessarie. La NIS2 chiede un approccio strutturato e sistematico, perché solo attraverso verifiche periodiche è possibile individuare e correggere le vulnerabilità prima che diventino incidenti.
Le difficoltà di adeguamento alla NIS2 non dipendono solo dalla tecnologia, ma soprattutto da cultura e organizzazione. In molte realtà italiane il top management non ha ancora piena consapevolezza della portata strategica della cybersecurity, che continua a essere trattata come un tema tecnico da delegare all’IT invece che come una leva di governance capace di incidere su continuità operativa, reputazione e competitività.
A questo si aggiunge una carenza di competenze specialistiche interne, tradurre i requisiti della direttiva in processi strutturati e mantenerli aggiornati richiede figure qualificate e formazione continua, risorse che non tutte le organizzazioni hanno già nel proprio organico.
La situazione si complica ulteriormente sul fronte della supply chain, spesso non mappata in modo completo. Senza una visione chiara dei fornitori e delle terze parti coinvolte, il rischio si estende lungo tutta la filiera, proprio laddove la NIS2 chiede invece un controllo capillare.
Infine, prevale ancora un approccio reattivo più che proattivo, si interviene dopo l’incidente, anziché lavorare sulla prevenzione, sul monitoraggio costante e sulla risposta immediata. Un atteggiamento che contrasta con la filosofia stessa della direttiva, concepita per costruire resilienza prima che la crisi si manifesti.
Ignorare o rimandare l’adeguamento alla NIS2 non è un’opzione neutrale: significa esporsi a conseguenze che possono compromettere la solidità stessa dell’organizzazione.
Il primo rischio è quello economico. La direttiva prevede sanzioni fino al 2% del fatturato annuo globale per le entità essenziali: una penalità capace di erodere margini e mettere sotto pressione i bilanci, soprattutto se rapportata ai costi – spesso inferiori – necessari per attuare un piano di conformità strutturato.
Al danno finanziario si aggiunge quello reputazionale. In un mercato dove la fiducia è l’asset più fragile, un data breach non gestito correttamente o una notifica tardiva possono incrinare relazioni costruite in anni e compromettere la credibilità verso clienti, partner e investitori. Recuperare questa fiducia, una volta persa, è un processo lungo e incerto, che in molti casi lascia cicatrici permanenti.
Il terzo fronte è quello della continuità operativa. La direttiva nasce proprio per prevenire interruzioni che, in settori critici come energia, finanza o sanità, hanno un impatto immediato non solo sull’azienda, ma sull’intero sistema economico e sociale. Incidenti che avrebbero potuto essere contenuti con le misure NIS2 rischiano invece di trasformarsi in crisi prolungate, con costi esponenziali in termini di produttività e servizio.
In definitiva, il mancato adeguamento alla NIS2 non si traduce solo in multe salate: significa mettere in discussione la stabilità economica, la reputazione sul mercato e la capacità stessa di garantire continuità ai propri servizi. È una sfida che nessuna organizzazione può permettersi di sottovalutare.
La NIS2 ha spostato la cybersecurity dal perimetro tecnico al cuore della governance aziendale. Non si tratta più di un adempimento IT, ma di una responsabilità che coinvolge direttamente i vertici, perché incide sulla capacità di garantire continuità, tutelare la reputazione e mantenere la fiducia del mercato.
Agire adesso significa ridurre il rischio di sanzioni, ma soprattutto trasformare un obbligo normativo in un vantaggio competitivo. Le organizzazioni che sapranno anticipare la compliance dimostreranno solidità e affidabilità in un contesto sempre più sensibile alla resilienza digitale.
In un panorama in cui le interruzioni non sono più eccezioni ma parte della normalità, la differenza non sarà tra chi subisce un incidente e chi no, ma tra chi saprà continuare a operare senza fermarsi.
I dati raccolti mostrano chiaramente quanto il percorso verso la conformità NIS2 sia ancora incompleto e quanto sia urgente colmare il divario. Non adeguarsi significa esporsi a sanzioni, danni reputazionali e interruzioni operative che la direttiva mira proprio a prevenire.
Per questo abbiamo lasciato attivo il nostro questionario, uno strumento pratico per valutare il livello di adeguamento della tua organizzazione e individuare le aree su cui intervenire.
Compilandolo potrai anche accedere a una call dedicata con i nostri esperti, per trasformare l’analisi in un primo passo concreto verso l’allineamento.
ai.esra SpA – strada del Lionetto 6 Torino, Italia, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590 CF e PI 13107650015
“Questo sito si impegna a garantire l’accessibilità digitale secondo la normativa europea (EAA). Per segnalare problemi di accessibilità, scrivi a: ai.esra@ai-esra.com”
ai.esra SpA – strada del Lionetto 6 Torino, Italy, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590
CF e PI 13107650015
© 2024 Esra – Tutti i diritti riservati
