Da ormai diverso tempo le aziende italiane si stanno attrezzando per l’adeguamento normativo alla direttiva europea per la cybersecurity, meglio nota come NIS2. Con il 2026 in corso, è tempo di rimboccarsi le maniche (per chi non lo avesse già fatto) per passare dalle parole ai fatti.
Tuttavia, è emersa una certa confusione interpretativa sull'attuazione della norma. La direttiva e il decreto di attuazione indicano come schema di riferimento per il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) lo standard ISO 27001, citato espressamente al considerando 79 della norma. Fin qui, nessun problema: questa è la legge. Successivamente però, quando l’ACN ha emanato le regole "operative" e le linee guida per le misure di sicurezza minime e avanzate (richieste ai soggetti "Essenziali" e "Importanti"), ha utilizzato lo standard americano NIST Cybersecurity Framework.
Questo ha creato inevitabilmente un po' di smarrimento. La prima domanda che sorge spontanea è: "Dobbiamo gestire due binari paralleli? Dobbiamo buttare via il lavoro fatto sulla ISO per seguire il NIST?". La risposta, fortunatamente, è no.
Ci vengono in soccorso l’UNI (Ente Italiano di Normazione) e Accredia (L'Ente Unico nazionale di accreditamento). Pubblicando la Prassi di Riferimento UNI/PdR 174:2025 — a cui la stessa ACN fa riferimento — l’UNI ci ha fornito uno strumento operativo che armonizza i requisiti strutturati della ISO 27001 con gli obiettivi flessibili orientati al NIST CSF 2.0.
Esaminiamo nel dettaglio i 3 scenari possibili per le aziende che devono approcciare questa problematica.
Scenario 1: L'azienda già certificata ISO 27001
Per chi ha già affrontato il percorso, non semplice, della certificazione ISO 27001, il timore è che un audit NIS2 possa far emergere delle non conformità, dato che il linguaggio dell’ACN (basato sul NIST) è diverso da quello di un auditor ISO. Il sistema ISO è solidissimo e strutturato per garantire la sicurezza delle informazioni, mentre il NIST CSF 2.0 è focalizzato sulla valutazione della "postura di sicurezza". Questi due sistemi non sono sovrapponibili al 100%, ma sono assolutamente complementari.
L’aiuto necessario per renderli omogenei si trova nell'Appendice A della UNI/PdR 174:2025. Questo allegato vi dà la possibilità di prendere i controlli già implementati (Annex A – ISO 27001) e vedere esattamente quali sottocategorie NIST vanno a coprire.
Cosa fare subito: Eseguite una Gap Analysis per verificare che tutto ciò che avete previsto, ad esempio nel controllo 7.x, sia aderente alla categoria NIST corrispondente (es. Protezione degli asset - PR.PS). Potrebbe essere necessario ampliare una procedura per recepire queste differenze, senza però inficiare la bontà dei vostri controlli ISO esistenti.
Il vantaggio: In caso di verifica da parte delle autorità (ACN) o dell’audit di rinnovo ISO, potrete produrre la vostra certificazione mappata anche sui requisiti NIS2. Sarete, di fatto, "blindati".
Scenario 2: L'azienda che vuole la certificazione ISO e l'adeguamento NIS2 insieme
Questo è indubbiamente lo scenario ideale. Invece di costruire due sistemi, si procede direttamente con l’implementazione della ISO 27001 armonizzata con i requisiti NIS2 (NIST CSF 2.0), realizzando di fatto un C-ISMS (Cybersecurity and Information Security Management System).
Esempio: Quando scrivete la procedura per l'Analisi del Contesto (richiesta dal punto 4.1 della ISO), la Prassi vi guida affinché questa soddisfi contemporaneamente le sottocategorie GOVERN (GV.OC-01, GV.OC-03) del NIST.
Il vantaggio: Ogni procedura scritta per la ISO sarà nativamente conforme alle richieste dell'ACN. Massima resa con un unico sforzo.
Scenario 3: L'approccio "Solo NIS2" (ma lungimirante)
Al momento il budget o l'interesse per una certificazione ISO 27001 non rientrano nel piano di business? Evitiamo comunque un approccio "a macchia di leopardo" (un firewall qui, un backup lì) solo per tappare i buchi della normativa. Questo metodo genera "debito tecnico": si rischia di fare il lavoro due volte senza essere pienamente conformi.
Come procedere: Utilizzate l’Appendice B della UNI/PdR 174 e verificate a quali controlli ISO corrispondono le richieste ACN. Se l'Agenzia vi chiede di gestire il Rischio della Catena di Fornitura (Categoria NIST GV.SC), la tabella vi indicherà di guardare ai controlli ISO 5.19, 5.20 e 5.21.
Il vantaggio: Anche se non volete certificarvi ISO 27001 oggi, utilizzando questo approccio vi accorgerete — nel momento in cui cambiaste idea — di avere già il 90% del sistema di gestione pronto, invece di trovarvi con un'accozzaglia di documenti disordinati.
Conclusioni
La pubblicazione della UNI/PdR 174:2025 elimina gli alibi. Non serve scegliere tra "fare la ISO" o "fare la NIS2". L'armonizzazione è tecnica, codificata e disponibile. Per le aziende del nostro territorio, adottare questo schema integrato non è solo una questione di compliance, ma un investimento intelligente per razionalizzare i costi e alzare, concretamente, il livello di difesa contro le minacce cyber.
Per maggiori informazioni:
Sito web: www.seccomarco.com
