Questo è stato il fulcro della tavola rotonda “Cybersecurity e privacy: sfide, opportunità e normative”, organizzata da Trilance in occasione dell'evento Cybersecurity Utilities Forum. Esperti legali, CIO, specialisti della sicurezza informatica e operatori di settore si sono confrontati sui principali cambiamenti introdotti dalla Direttiva NIS2 e dal Decreto Legislativo 138/2024, che ne recepisce i contenuti in Italia.

Un cambio di passo: il D.lgs. 138/2024 alza il livello di responsabilità

L’avvocato Francesco Piron, Partner di CBA Studio Legale, ha tracciato con chiarezza il nuovo quadro normativo. Il D.lgs. 138/2024, attuativo della Direttiva NIS2, segna un cambio radicale nell’approccio alla cybersicurezza. Non si parla più solo di obblighi tecnici, ma di responsabilità dirette della governance e sanzioni concrete e significative:

• Multe fino al 2% del fatturato globale per i soggetti “essenziali” e fino al 4% per quelli “importanti”;
• Sanzioni minime elevate fino a 500.000 euro, con impatto immediato;
• Applicabilità estesa anche alle pubbliche amministrazioni, con multe fino a 25.000 euro.

Un elemento chiave: la normativa non ammette ignoranza o impreparazione come attenuanti. La “maturità cyber” non è un’opzione, ma un requisito. Le aziende hanno il dovere di conoscere e presidiare i propri rischi informatici con diligenza professionale.

Oltre la compliance: la sicurezza come leva per innovare

Durante il confronto, Antonio Ieranò, esperto in sicurezza e protezione dei dati, ha posto l’accento sulla necessità di superare la visione difensiva della compliance. Le normative, secondo Ieranò, non devono essere viste come barriere, ma come strumenti per costruire organizzazioni più solide e resilienti.

La NIS2 non chiede nulla che non andasse già fatto da anni. Il vero problema è culturale: dobbiamo passare da una visione emergenziale a una di gestione strutturata del rischio.

L’approccio suggerito è integrato e strategico: compliance, innovazione, protezione del dato e resilienza devono coesistere all’interno dello stesso disegno operativo e organizzativo.

Cybersecurity: la testimonianza di Ascopiave

Il CIO di Ascopiave, Mario Ontini, ha portato in tavola l’esperienza concreta di chi opera ogni giorno sul campo, nel cuore della distribuzione e produzione energetica.

Due gli aspetti critici evidenziati:

• Ampliamento del perimetro normativo: ora ogni incidente informatico - anche se non interrompe il servizio essenziale - può essere soggetto a obbligo di notifica;
• Formalizzazione dei processi: le aziende sono chiamate a dimostrare la tracciabilità e la consapevolezza delle scelte, con documenti, ruoli e responsabilità chiaramente definiti.

Un passaggio emblematico: il passaggio dal semplice disaster recovery alla business continuity integrata, con investimenti importanti.

Chiedere 5 milioni per un piano di continuità operativa completo non è facile, ma oggi è necessario.

ha affermato Ontini, facendo riferimento all’obbligo per il CdA di presidiare direttamente questi temi.

La sfida delle risorse: competenze e cultura organizzativa

Una delle criticità più sentite riguarda il deficit di risorse umane qualificate in ambito cybersecurity. Negli ultimi anni, il personale IT è diminuito per effetto dell’outsourcing e del cloud, ma la sicurezza richiede presenza umana, capacità decisionali e intervento tempestivo.

Le figure richieste oggi sono interdisciplinari: non bastano competenze tecniche, servono capacità di analisi, comunicazione e governance. La cybersecurity è diventata una disciplina “ibrida” tra tecnologia, diritto, organizzazione e strategia.

Cybersecurity Awareness e fattore umano: da anello debole a punto di forza

Alessandro Pontrandolfi, Senior ICT Manager di Terranova, ha evidenziato un dato cruciale: il 70% degli attacchi informatici sfrutta il comportamento umano. Tecniche di phishing, smishing e vishing restano tra le più efficaci, perché fanno leva su disattenzione e inconsapevolezza.

L’antidoto è solo uno: Cybersecurity Awareness strutturata e continua. Non più corsi una tantum, ma percorsi su misura per ogni profilo aziendale, con strumenti dinamici:

• Pillole formative periodiche;
• Newsletter personalizzate;
• Test simulati di attacco (phishing, social engineering);
• KPI e feedback quantitativi per valutare l’efficacia della formazione.

La consapevolezza deve essere parte integrante della cultura aziendale, misurabile e monitorabile nel tempo.

Supply chain: il tallone d’Achille del sistema

Un altro tema emerso è quello della sicurezza nella catena di fornitura, spesso trascurata ma oggi strategica. Anche fornitori apparentemente “minori” possono rientrare nel perimetro NIS2, e di conseguenza le aziende capofila devono vigilare sull’intero ecosistema digitale:

• Richiedendo audit di sicurezza e pen test;
• Pretendendo certificazioni internazionali (es. ISO 27001);
• Costruendo contrattualistica ad hoc che regoli l’accesso ai sistemi critici.

Piron ha sottolineato la necessità di creare uno schema europeo di certificazione sulla sicurezza informatica della supply chain, analogo a quanto avviene in ambito finanziario con SOC 1 e SOC 2. Un punto ancora aperto a livello normativo, ma fondamentale per la cyber resilienza sistemica.

La tavola rotonda ha restituito un messaggio chiaro e condiviso: la cybersicurezza non è solo un obbligo normativo, ma un prerequisito per la continuità operativa, la competitività e l’innovazione. Servono:

• Governance informata;
• Processi formalizzati;
• Risorse qualificate;
• Strumenti tecnologici integrati;
• Una cultura della sicurezza diffusa.

In un mondo dove ogni connessione digitale è potenzialmente un rischio, l’unica vera difesa è una strategia integrata che parte dalle persone e arriva fino all’ultimo fornitore.

Come ha efficacemente sintetizzato Ieranò in chiusura:

La compliance è come un buon freno: non serve a rallentare, ma a permetterti di correre veloce in sicurezza.