NIS 2: il perimetro si allarga

Privilegiamo la fedeltà alla conversazione effettivamente avvenuta.

Introduzione all'episodio

Ciao, sono Andrea Veca, e ti do il benvenuto a MingaMal, il podcast che instilla dubbi per migliorare. Oggi parliamo con Patrizia Sormani, per la rubrica Patrizia Digitale, Plebeo Analogico. L'argomento dell'episodio è la NIS 2, che è una direttiva europea sulla sicurezza informatica diventata legge in Italia nel 2024. Ora, so già cosa stai pensando. La NIS 2 riguarda le banche, l'energia, la sanità, la pubblica amministrazione. Roba grossa. Non mi riguarda. Ma è proprio vero? Questo è esattamente il punto di partenza della nostra conversazione. Perché il perimetro della NIS 2 si allarga molto oltre i soggetti direttamente obbligati, e il percorso su cui si allarga è la supply chain. Fornitori, subfornitori, chi garantisce continuità operativa a chi rientra direttamente nell'alveo della direttiva. E da ottobre 2026 partono le prime verifiche di ACN. Alla fine dell'episodio, un paio di cose da portarsi a casa. Se l'episodio ti è utile, lascia una recensione e qualche stellina su Apple Podcast o Spotify: aiuta altri a trovare MingaMal. E se vuoi dire la tua sull'argomento, trovi il sondaggio legato a questo episodio nella descrizione. Buon ascolto.

Benvenuto e presentazione del tema

Andrea Veca: Buongiorno Patrizia Sormani e Patrizia Digitale, benvenuta ad un altro episodio della nostra rubrica Patrizia Digitale Plebeo Analogico.

Patrizia Sormani: Ciao Andrea e bentrovati a tutti i nostri ascoltatori ed ascoltatrici.

Andrea Veca: Sarà un altro episodio in cui ne vedremo delle belle cara ascoltatrice, caro ascoltatore. Io e Patrizia abbiamo litigato già nella chiacchierata che facciamo di consueto prima della registrazione. Chissà cosa succederà adesso. Vogliamo affrontare un tema abbastanza caldo, direi, che è quello della NIS 2, che ho appena scoperto chiamarsi NIS due perché c'era una NIS uno, ma di questo non vogliamo parlare. Allora, la NIS 2: vorremmo cercare di capire che cos'è in maniera estremamente sintetica, ma soprattutto io direi due cose: uno, se ti riguarda, cara ascoltatrice, caro ascoltatore. E che anche se non ti riguarda, diciamo de iure, sarebbe bello che te la facessi riguardare de facto, perché ti porta oggettivamente a dei vantaggi o ti porta meglio, ti porta dei vantaggi. È una sintesi che ti trova d'accordo, Patrizia, o già qui vuoi dissentire?

La NIS 2 non è solo un adempimento

Patrizia Sormani: Assolutamente sempre d'accordo con te, Andrea, nel modo più assoluto, come dissentire da Andrea Veca di Mingamal. No, secondo me il problema della NIS è proprio quello di comunicazione, nel senso che porta con sé un equivoco abbastanza strutturato, cioè si pensa sempre che sia un obbligo, un adempimento da fare, qualcosa che se non faccio prendo una multa, l'ennesima rottura di scatole, appesantimento normativa e costi, soldi, investimenti. In realtà, io credo che vada letta un pochettino in maniera diversa. Come hai detto tu, giustamente, parliamo di NIS due perché c'è stata una NIS uno. Ci si è resi conto che l'asticella andava alzata, la sicurezza andava in qualche modo meglio definita e aumentata. E l'ambito, che colpiva, diciamo, la necessità di essere in qualche modo coperto da questo cappello di sicurezza doveva ampliarlo. Quello che porta la NIS 2 però secondo me è un concetto fondamentale. Cioè, non devo avere solo dei processi in grado di gestire i rischi, ma fondamentalmente devo documentarli. E questo porta a delle interazioni che poi vedremo.

Andrea Veca: Ok, quindi l'importanza della documentazione di ciò che faccio. Per quella che è la mia esperienza e credo di averlo già detto una dozzina di volte qui a Mingamal, nel momento in cui io documento, nel momento in cui io devo trasmettere a qualcuno quello che faccio, lo capisco io stesso e lo faccio meglio io stesso. Quindi credo che approfondiremo poi questo aspetto andando avanti. Senti, in due parole, di che cosa stiamo parlando? Quando tu parli di sicurezza, parli di rischi: questa NIS che cos'è e che cosa riguarda? A grandissime linee.

Che cos'è la NIS 2: direttiva europea, legge italiana

Patrizia Sormani: Intanto è una direttiva europea e possiamo dire che è una direttiva europea sulla sicurezza informatica. Così la definiamo in maniera estremamente generica. È una direttiva europea del 2022. E in quanto direttiva, ovviamente richiede un decreto legislativo di attuazione. Decreto legislativo di attuazione che l'Italia ha già emanato nel 2024, per cui è diventata pienamente legge in Italia, con le dovute interpretazioni e adeguamenti rispetto ovviamente al testo europeo. Che cosa fa? Obbliga un sacco di aziende a fare un sacco di cose, o perlomeno a documentare che fanno un sacco di cose. E, come dicevo prima, quello che si è ampliato è il bacino di interesse. Cioè, non siamo più solo nell'ambito ICT, ma siamo anche in ambiti più ampi e credo che quello che interessa i nostri ascoltatori è che addirittura siamo anche nell'ambito di coloro che lavorano per chi rientra nell'ambito NIS, e questa è un po' una novità.

Soggetti essenziali e soggetti importanti

Andrea Veca: Ecco, partiamo proprio da qua. Chi è che rientra nell'ambito NIS? Sappiamo che sarà poi una cosa a cascata, ma qual è il punto di partenza, cioè qual è il soggetto che è per primo coinvolto da questa direttiva?

Patrizia Sormani: Allora, la direttiva ha certamente individuato i soggetti coinvolti in base a due criteri, sia di tipo dimensionale che inerente al settore di appartenenza. E li ha suddivisi in due categorie: i soggetti essenziali e i soggetti importanti. Quindi parliamo di tutti i soggetti vigilati, delle banche, dell'energia, della sanità, dei trasporti, della pubblica amministrazione, di tutti i servizi digitali, dei servizi fiduciari. Però, in determinate situazioni, anche la dimensione aziendale fa sì che io possa essere classificato da ACN come soggetto importante o soggetto essenziale. Qual è la differenza? Teoricamente il soggetto essenziale deve dimostrare, a prescindere, di avere una determinata infrastruttura rispondente a delle previsioni che vengono dettagliate appunto dalle differenti determine emesse da ACN, che poi è l'autorità nazionale di cybersicurezza che vigila sull'applicazione di questa normativa. Il soggetto importante le deve avere, ma diciamo che fondamentalmente gli vengono verificate poi a posteriori se succede qualcosa. Quindi il soggetto essenziale le deve comunque avere perché può subire una verifica a priori. Il soggetto importante le deve avere, ma di solito la verifica la subisce nel momento in cui accade qualcosa.

La supply chain come estensione del perimetro

Andrea Veca: Ok, verosimilmente, ora che sia essenziale o che sia importante, questi aggettivi suggeriscono qualche cosa di grosso e importante, giustappunto. Sebbene noi diamo il benvenuto su Mingamal agli amministratori delegati delle più importanti aziende del nostro paese, verosimilmente chi ci sta ascoltando non appartiene a queste categorie. Quindi possono andare a dormire tranquilli o possono essere chiamati in causa?

Patrizia Sormani: No, secondo me invece, come dire, l'ambito si è allargato moltissimo perché, al netto del fatto che ACN individua queste due tipologie di soggetti essenziali e importanti, la normativa prevede anche che questi soggetti, a loro volta, debbano attenzionare in maniera molto forte la loro supply chain, cioè la loro catena di fornitori. E questo che cosa significa? Che devono porre attenzione a che i loro fornitori siano sicuramente rispondenti a un determinato tipo di framework a livello di gestione della sicurezza. E uno può dire, vabbè, ma è tutta una roba che si giocano in casa i fornitori IT perché alla fine quello è l'ambito. In realtà abbiamo un ampliamento nell'ampliamento, perché nell'identificazione di quelli che la normativa definisce fornitori rilevanti entra in gioco anche un altro aspetto, cioè quello della garanzia della continuità di erogazione del servizio. Quindi non solo i servizi ICT, ma anche tutti quei fornitori che in qualche modo possono interagire qualora, per qualsiasi motivo fosse interrotta la loro fornitura, con la possibilità di un soggetto essenziale di garantire la continuità di erogazione del suo servizio.

Andrea Veca: Quindi io sono un soggetto essenziale, benissimo. Ho dei fornitori. Io, soggetto essenziale, erogo un servizio che non deve essere interrotto e questa mancanza di interruzione si basa su determinate forniture. Questi fornitori devono essere attenzionati e diventano fornitori rilevanti. Questo è quello che abbiamo detto fino adesso, giusto?

Perché gli attacchi passano dai fornitori

Patrizia Sormani: Certo e credo vada fatta una premessa. Non è che si sono svegliati la mattina in Europa e han deciso che bisognava andare a controllare anche i fornitori. Ci si è resi conto che nella maggior parte degli attacchi alle grosse strutture difficilmente l'attacco arriva direttamente alla struttura. Ma un po' come i salmoni risalgono il fiume, si entra dal piccolo fornitore che molto probabilmente ha un'infrastruttura più semplice, talvolta magari anche più fragile e in quanto tale più vulnerabile. E, entrando in questo piccolo fornitore che magari non ha nemmeno l'accortezza di monitorare e vigilare se ci sono degli attacchi in corso, chiaramente si va poi a interagire con tutto l'ecosistema con cui questo piccolo fornitore lavora e interagisce, riuscendo poi ovviamente ad entrare ad attaccare anche sistemi molto più grandi. Ecco perché quindi devono essere attenzionati i fornitori cosiddetti rilevanti. Sia perché è importante capire cosa vuol dire rilevante, cioè qual è l'impatto sui processi critici del soggetto essenziale o importante. Qual è la sua fungibilità operativa, cioè è l'unico fornitore sulla faccia della terra o in qualche modo è fungibile? E il piccolo fornitore, se ha l'ambizione di lavorare con i più grandi, che sono tra i soggetti essenziali o importanti, deve necessariamente riflettere su questo tema, avere un framework strutturato che in qualche modo gli consenta di dimostrare qual è la sua modalità di garantire un livello di sicurezza adeguato.

I subfornitori: la catena si allunga

Andrea Veca: Quando parli di fornitore ti riferisci a una fornitura diretta o anche indiretta? Cioè il fornitore di un fornitore rilevante diventa rilevante?

Patrizia Sormani: Dal mio punto di vista sì, ma non solo dal mio punto di vista. Anche dal punto di vista di ACN. Devo dire che ACN è molto prolifica tra FAQ, incontri, slide, condivisioni, incontri di settore e chi più ne ha più ne metta. Quindi il confronto su questi temi è molto vivo. Facciamo un esempio di un ambito che è noto a me e ad Andrea: un service provider che in qualche modo rivende servizi di una terza parte e il cloud di una terza parte. È chiaro che divento rilevante io come service provider che consento determinate interazioni verso il soggetto essenziale, ma lo è anche il servizio che io canalizzo e vendo, quindi entrambi devono essere strutturati da questo punto di vista. Dopodiché ci mettiamo quello che sta accadendo ora, cioè tempistiche serratissime. Pensate che i termini perché si possono indicare ad ACN fornitori rilevanti decorrevano dal 15 aprile ultimo scorso e scadranno il 31 di maggio prossimo venturo, quindi a strettissimo giro. E in seconda battuta ACN dice che è meglio indicarne uno in più che uno in meno. Però, ecco, i criteri sono un po' laschi. Soprattutto i piccoli che pensano di essere fuori dall'alveo: la stessa interazione con un soggetto che invece rientra nell'alveo magicamente li attrae a quella dimensione.

Come si costruisce l'elenco dei fornitori rilevanti

Andrea Veca: Allora facciamo un attimo di ordine e soprattutto mettiamo dei soggetti. Allora, io sono un soggetto essenziale, perfetto. Nomino i fornitori rilevanti. Questi fornitori rilevanti potrebbero avere dei subfornitori che possono diventare a loro volta fornitori rilevanti oppure no. Esiste un elenco gestito da ACN dei fornitori rilevanti?

Patrizia Sormani: L'elenco ACN lo dedurrà dalle informazioni che i soggetti essenziali e importanti andranno a condividere con ACN. È un elenco che nasce dalle varie segnalazioni di fornitori rilevanti che ciascun soggetto che rientra nel registro ACN andrà a fare. Da lì sicuramente poi ACN strutturerà un elenco. Teoricamente, se Andrea è un soggetto essenziale e indica un fornitore rilevante, dovrebbe anche occuparsi di quali possono eventualmente essere subfornitori di questo fornitore rilevante che hanno su di lui un qualche impatto.

Il caso dell'azienda metalmeccanica: un esempio concreto

Andrea Veca: OK, sì, perché secondo me chi ci sta ascoltando è più probabile che rientri nella categoria dei subfornitori, per la tipologia degli ascoltatori di Mingamal, non per altro, è per questo che continuo a romperti le scatole.

Patrizia Sormani: No, è il nostro amico del cloud di prima a fronte dell'MSP. Certo, il suo è un impatto critico sul processo di un soggetto essenziale, perché se il suo cloud viene bucato e da lì si arriva al soggetto essenziale, pur essendo lui un subfornitore, ci rientra a mani basse. È chiaro che è complicatissimo definire un perimetro esatto e preciso, quello che tutti vorrebbero, tu dentro, tu fuori. Perché chiaramente se la prima voce che mi dice la rilevanza di un fornitore dipende dal fatto che sei un fornitore ICT, lì siamo tutti tranquilli, sappiamo dove stiamo giocando. Ma nel momento in cui entra la garanzia di continuità operativa e di impatto sulla continuità operativa, possiamo assumere differenti metodologie di individuazione. La più tuzioristica e rigorosa potrebbe essere che tutti sono fornitori rilevanti, però ci vuole anche della logica, del buon senso, cioè comprendere che cosa voglia dire impattare sulla continuità operativa.

Andrea Veca: Allora io sono una piccola azienda metalmeccanica che fa due milioni di euro e fa dei pezzetti di ferro che servono al mio cliente per fare dei pezzettoni di ferro che servono ad una industria della difesa. Io subfornitore potrei diventare fornitore rilevante. Mi devo porre la domanda, almeno. A parte che probabilmente il mio cliente me lo dice: guarda che sei rilevante.

Patrizia Sormani: Allora diciamo che ci deve essere un'interazione comunicativa di informazioni tra il cliente e i suoi fornitori. Cioè mi aspetto che il cliente dica ai suoi fornitori: guarda che ti ho inserito tra i fornitori rilevanti. Ma se quel pezzettino serve per produrre un radar che serve all'azienda della difesa e senza il pezzettino il radar non funziona, questo potrebbe effettivamente far rientrare la piccola azienda in questo alveo. Nel senso che Andrea dovrà andare a verificare quanto sono sicure le sue infrastrutture digitali, perché si eviti che passando da Andrea, arrivando al pezzettone che produce il radar, si arrivi all'azienda che fa la difesa.

Cosa si può chiedere ad ACN e cosa no

Andrea Veca: E io nella mia grande azienda metalmeccanica che fa il pezzettino, ho la possibilità di fare una verifica presso ACN dicendo: questa è la mia situazione, rientro?

Patrizia Sormani: No, nel senso che quello che io potrei fare presso ACN è di dire: ACN, secondo te sono un soggetto essenziale o sono un soggetto importante. ACN non risponde a me dicendomi se sono un fornitore rilevante o no. ACN non ha detto che dirà quali sono i fornitori rilevanti, anzi sta raccogliendo informazioni dai soggetti essenziali. Poi ACN ha detto anche un'altra cosa: sta raccogliendo queste informazioni proprio per avere anche una mappatura di eventuali possibili vulnerabilità, perché attraverso i dati e le mappature si riesce a capire il contesto esatto e capendo il contesto si riescono anche a valutare le vulnerabilità di quel contesto.

Se non si fa niente: sanzioni, contratti e responsabilità

Andrea Veca: Grossomodo, speriamo di avere dato qualche barlume di indicazione circa la valutazione del proprio rientrare nell'alveo della NIS 2. Supponiamo che qualcosa vada storto. Anzi no, non è ancora andato storto niente. Io rientro nell'alveo e non faccio niente. Perché sono un furbacchione.

Patrizia Sormani: Allora dipende chi sono io. Se io sono un soggetto essenziale, c'è una checklist bella strutturata di cose che devo fare, di policy che devo implementare, di politiche che devono essere approvate direttamente dall'organo amministrativo, ed essenzialmente devo documentare le azioni che faccio, cioè devo creare consapevolezza in merito alla sicurezza in tutta l'azienda, quindi devo fare formazione, il mio board deve avere una governance consapevole in termini di sicurezza. La sicurezza non è più dell'ultimo stanzino in fondo, con tutti quelli con la felpa e il cappuccio in testa. È qualcosa che riguarda più ampio spettro l'azienda. E quindi se sono soggetto NIS so cosa devo fare, ho le mie belle scadenze, e sappiamo tutti che è bene che lo faccia, perché da ottobre 2026 partiranno poi le prime vigilanze di ACN. E qui la nota dolente: se a fronte di una vigilanza qualcosa che dovevo fare non l'ho fatto, o meglio non riesco a giustificare perché non l'ho fatto, potrei incorrere in sanzioni che non sono proprio del tutto banali. Se io sono invece un piccolo fornitore e il mio soggetto essenziale mi manda delle bellissime checklist per chiedermi se ho un framework adeguato alla NIS 2 e io gli rispondo sì, però poi non ho assolutamente nulla e succede un incidente, con grande probabilità si metterà a confronto ciò che ho dichiarato con ciò che esiste. Se ciò che ho dichiarato è diverso da ciò che esiste, probabilmente quella fornitura l'ho finita prima ancora di continuarla. E chiaramente poi dipende da eventuali penali che sono state concordate all'interno del contratto. I contratti devono essere sempre più performanti a livello di responsabilità, proprio perché la catena di responsabilità è sempre più tracciata e mappata. Quindi è chiaro che l'evidenza è fondamentale. Documentare quello che si fa e avere un allineamento tra quello che il documento racconta e quello che effettivamente si fa sui sistemi è probabilmente la ricetta per essere tranquilli e sereni.

La conformità come requisito di mercato

Andrea Veca: Tradotto, può essere che se io non sono pronto, esco dal mercato, cioè non vengo considerato come fornitore manco a priori perché non ho i requisiti.

Patrizia Sormani: Allora, secondo me, sempre più spesso nelle richieste di fornitura si troverà la domanda di adeguamento al framework NIS e sarà un dentro o fuori. E secondo me, chi sa di cosa si parla, chi saprà documentare meglio e chi saprà anche documentare le scelte, perché potrebbe avere optato per una cosa piuttosto che per un'altra, sarà chi avrà più chance. La scelta dei fornitori in determinati ambiti, quando questi ambiti sono soggetti NIS, essenziali o importanti, non potrà più basarsi esclusivamente sul prezzo.

Andrea Veca: La conformità diventa un requisito.

Patrizia Sormani: Cioè l'essere adeguati al framework inteso come le previsioni. E saper documentare perché si è deciso di fare una cosa, piuttosto di non farla, perché uno potrebbe anche dire: guarda, io ho i miei sistemi che sono nel bunker più sicuro di tutta la Svizzera e quindi la sicurezza fisica per me è un problema che ha rischio sotto zero. E però l'ho documentato. Poi probabilmente se arriva una bomba atomica salta per aria anche quello, forse.

Andrea Veca: Vabbè, lo elencheremo tra i rischi e con probabilità bassa, speriamo. Però quello che volevo dire è che quindi io fornitore sono o dentro o fuori, cioè non basta più che io faccio un prezzo stracciato per essere valutato e scelto.

Il cambio di paradigma: dalla stanzetta al board

Patrizia Sormani: Secondo me no, ma per un motivo molto semplice. Perché il cambio di paradigma della NIS è quel discorso che facevo prima della famosa stanzetta in fondo al corridoio. Cioè in tutte le strutture più o meno ampie, si è sempre pensato che la cyber security, la sicurezza IT, fosse un problema del pool IT, ICT, del CISO, di tutte quelle figure che stanno là in quella stanza là e che loro sono sempre a smanettare coi server, con i sistemisti, con la sicurezza e quant'altro. Il cambio di paradigma che ha dato la NIS è di dire: eh no. Chi ha la governance delle aziende deve sapere come le cose funzionano, è direttamente responsabile. Tenete conto che se alcune cose non vengono fatte come la NIS prevede che vanno fatte, c'è una responsabilità diretta e anche penale da parte degli amministratori, i quali possono perdere la possibilità di essere amministratori di altre società. Allora capite bene come si alza l'attenzione in termini di governance e interesse. Un'altra cosa altrettanto importante è il fatto di come avviene la comunicazione di determinati accadimenti all'esterno o all'interno. Cioè entra in gioco il tema reputazionale, entra in gioco il tema di marketing. Quindi la governance di cyber non è più la governance della stanzetta in fondo, ma la governance di un team, di un comitato, di una commissione che deve comprendere il board, probabilmente il legal, il risk, il marketing, la comunicazione e tutto l'IT e l'ICT. Quindi vedete come si è ampliato il perimetro? E allora è chiaro che scegliere un fornitore coinvolge tante persone adesso. Il procurement magari può trovare quello che ha il prezzo migliore, però poi questo fornitore deve passare attraverso l'esame di tutta una serie di aspetti che tutto questo comitato così allargato deve considerare validi. Ecco perché io credo che sia importante strutturarsi e capire la ragione di tutto questo, perché questo porta, a fronte di un appesantimento da parte di ciascuno, a un miglioramento per tutti.

Saluti e conclusione della conversazione

Andrea Veca: Va bene, Patrizia, non ci siamo azzuffati e questo mi sembra già il primo grande risultato. Spero che abbiamo fatto chiarezza. No, non possiamo dire che abbiamo fatto veramente chiarezza. Però insomma, almeno abbiamo indirizzato i dubbi, quantomeno abbiamo evidenziato alcune domande da porsi. Auguriamo buona fortuna in tempi brevi a chi ci ha ascoltato.

Patrizia Sormani: Sì, guarda Andrea, io penso che questo episodio sia proprio una condivisione di spunti, di dubbi, di riflessioni, sul momento, ma anche con una visione futura. Perché, come ci diciamo sempre, se io faccio azienda non posso vedere solo oggi, io devo andare avanti e quindi devo sapere che cosa mi aspetta, anche se sono piccolo e nero come Calimero, per poter stare sul mercato.

Andrea Veca: Benissimo, su questa perla di saggezza ti ringrazio molto. Patrizia Sormani, Patrizia Digitale, al prossimo episodio.

Patrizia Sormani: Grazie Andrea e grazie a tutti voi che ci avete ascoltato, care ascoltatrici e cari ascoltatori.

Conclusione dell'episodio

La registrazione finisce qui. Grazie ancora a Patrizia Sormani per la chiarezza e per la pazienza circa le mie domande da plebeo analogico. Tre cose da portarsi a casa. La prima: essere fuori dal registro ACN non significa essere fuori dalla catena. Se lavori con soggetti essenziali o importanti, potresti essere un fornitore rilevante. La seconda: documentare non significa solo scrivere quello che fai. Significa anche scrivere quello che hai scelto di non fare, e perché. La terza: da ottobre 2026 le verifiche di ACN iniziano. Il momento per ragionarci è adesso. Mi raccomando: compila il sondaggio di cui trovi il link in descrizione. Ci sentiamo al prossimo episodio. Buona NIS 2. Ciao!