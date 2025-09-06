Da ottobre 2024 molte aziende si sono trovate ad avere a che fare con questo “incubo” che ormai tutti conoscono come NIS2. Superato il primo scoglio burocratico della registrazione all’Agenzia per la Cybersicurezza Nazionale (ACN) — durante il quale abbiamo dovuto decidere e comprendere se le nostre aziende fossero assoggettate o esenti — passiamo ora alla fase operativa, con termine previsto per ottobre 2026. Una scadenza che sembra lontana, ma in realtà è dietro l’angolo.

Tralasciando gli aspetti politici di questa nuova normativa europea, lo scopo “nobile” è quello di rendere il tessuto socio-economico il più resiliente possibile agli attacchi informatici, ormai sempre più frequenti e sofisticati. La normativa, in realtà, esisteva già da anni e interessava soprattutto i settori critici e strutturali. Con la sua seconda versione, da NIS a NIS2, è stata ampliata la platea degli enti e delle aziende coinvolte.

All’inizio c’è stato un po’ di smarrimento per comprendere se si rientrasse tra i soggetti “importanti” o “essenziali”. Alla fine, chi era obbligato ha effettuato la registrazione, mentre chi si trovava nelle “zone grigie”, che richiedevano ulteriori valutazioni e interpretazioni, ha dovuto decidere se rientrare o meno.

Non mi soffermo su questa parte, ma vorrei sottoporvi due pilastri principali su cui si basa la NIS2: la protezione della supply chain e l’aderenza a sistemi di certificazione ISO 27001.

Per lo standard ISO 27001, il punto 79 della normativa utilizza il condizionale “dovrebbe” e quindi non impone la certificazione, ma la suggerisce fortemente: quantomeno l’adozione del modello di sicurezza delle informazioni. Per la supply chain, invece, la gestione è obbligatoria.

E che ci importa? Tanto non siamo soggetti! Sbagliato. Anche se la nostra azienda non rientra tra quelle indicate, potremmo esserlo indirettamente, “dalla finestra” invece che “dalla porta principale”.

Infatti, ai soggetti sottoposti alla normativa viene richiesto di controllare la supply chain. Se siamo fornitori di un ente essenziale o importante, dovremo rispondere a queste realtà sulla nostra postura in materia di sicurezza delle informazioni e resilienza informatica. Ed ecco che inizia la “pesca a strascico”…

In questo periodo stiamo infatti assistendo all’invio, da parte dei soggetti essenziali e importanti, di fogli di calcolo con le più disparate richieste di informazioni proprio sulla nostra sicurezza.

Ora, se abbiamo un solo cliente che ci sottopone questi questionari, cercheremo di rispondere nel modo più aderente possibile alle sue (legittime) richieste. Ma se i clienti “soggetti” diventano molti — fino a rappresentare la maggioranza — allora nasce un grosso problema.

A questo punto, posso decidere se assumere un Answers Questionnaires Manager (me lo sono appena inventato) che abbia come lavoro primario quello di rispondere ai questionari, oppure se certificarmi ISO 27001:2022.

Perché?

Chi si certifica ISO 27001:2022 viene sottoposto a un’analisi approfondita da parte di un ente certificatore che controlla ogni aspetto della sicurezza delle informazioni, come previsto dalla normativa NIS. In questo modo, a ogni richiesta di compliance, invece di perdere tempo a rispondere, posso inviare direttamente il mio certificato ISO 27001:2022, che attesta che sono già sotto controllo da parte di un soggetto terzo e indipendente.

Certo, la certificazione può non essere semplice, ma offre due vantaggi:

Risparmiare tempo nel dimostrare la propria affidabilità. Utilizzarla come strumento di marketing.

Vi pongo una domanda: affidereste i vostri brevetti e dati confidenziali a un fornitore che non ha alcuna sensibilità sull’igiene informatica? Credo che la risposta sia scontata. Perché, quindi, non usare la certificazione ISO 27001 come strumento qualificante di affidabilità per i vostri clienti?

In un mercato in cui tutti parlano di fiducia e cybersecurity, la certificazione ISO 27001:2022 è il metodo più diretto ed inequivocabile per smettere di parlarne e iniziare a dimostrare concretamente la solidità della nostra postura in materia di sicurezza.

