Nel 2026, sarà tempo di compliance per i soggetti interessati dall’attuazione della NIS 2 (l’acronimo sta per Network and Information Security), la direttiva europea nel sostegno alla cybersecurity che ha sostituito la precedente al fine di fare un passo avanti in 18 settori, di cui 11 altamente critici (nel nostro ordinamento è stata recepita nel 2024).
Nuovi obblighi e strumenti
A partire da gennaio 2026 i cosiddetti soggetti NIS, distinti tra essenziali e importanti, come ricordava l’Agenzia per la sicurezza nazionale (ACN), saranno tenuti all’obbligo di notifica degli incidenti significativi e, entro ottobre 2026, dovranno avere adottato le misure di sicurezza che gli spettano.
Rispetto al passato, si fanno più pressanti gli obblighi (il processo di notifica degli incidenti si amplia) e vengo introdotti anche nuovi strumenti (ad esempio, il Cyber crisis liaison organisation network, CyCLONe) per la gestione delle crisi, specie a carattere transfrontaliero). In generale, quindi, come ricordava ACN, la nuova normativa “estende gli obblighi in materia di misure di sicurezza e di notifica degli incidenti, rafforza i poteri di supervisione, struttura maggiormente i meccanismi e gli organi preposti alla risposta agli incidenti e alla gestione della crisi. Introduce, infine, nuovi strumenti, come la divulgazione coordinata delle vulnerabilità”.
Ai settori già coperti dalla NIS1 (energia, trasporti, assistenza sanitaria, finanza, gestione delle risorse idriche e infrastrutture digitali), la direttiva ne ha aggiunti altri in quanto le norme attuali si applicano anche ai fornitori di comunicazioni elettroniche pubbliche, a un maggior numero di servizi digitali (come le piattaforme sociali), alla gestione dei rifiuti e delle acque reflue. E poi ancora alla fabbricazione di prodotti critici, ai servizi postali e di corriere e alla pubblica amministrazione a livello centrale e regionale, nonché al settore spaziale.
Resistere agli attacchi, continuare a digitalizzare
Anche per le utility italiane si apre, quindi, una stagione nuova all’interno di un quadro tutt’altro che facile e che ha visto triplicare in un solo anno la spesa media per la cybersecurity (per una cifra pari a 670 milioni di euro). Il dato è stato divulgato di recente nell’ambito dell’appuntamento “Cybersecurity, la nuova sfida delle utility”, promosso da Utilitalia, la Federazione che riunisce le imprese dei servizi pubblici dell’acqua, dell’ambiente, dell’energia elettrica e del gas. Continuità e qualità sono da sempre un tema caldo per aziende che erogano servizi essenziali ma al problema del climate change che si abbatte sulle infrastrutture si affianca, altrettanto rilevante, quello della sicurezza informatica.
Gli incidenti crescono e, come si leggeva nel Rapporto Clusit dedicato a questo comparto, e che teneva conto anche dei dati del primo trimestre 2025, nel 2024 è stato registrato “un incremento del 40% rispetto al 2023 e, addirittura, del 61,5% rispetto a quanto rilevato nel 2020”.
