La Riunione del 14 Gennaio che Nessuno Dimenticherà
È lunedì mattina, ore 9:32. Nella sala riunioni al quinto piano di un'azienda manifatturiera bergamasca — 180 dipendenti, settore automotive, fornitore Tier 2 per OEM tedeschi — il presidente del Consiglio di Amministrazione apre la seduta straordinaria. Sul tavolo, un plico rilegato: 247 pagine. Il titolo recita "Documentazione di Conformità NIS2 - Rev. 1.0".
"Abbiamo adempiuto alla direttiva?" chiede il presidente, sollevando il documento.
Il consulente legale annuisce. "Tutto certificato. Policy di sicurezza, procedure operative, registro dei rischi, piani di continuità operativa. Tutto conforme all'articolo 21."
Il CFO sfoglia il documento. Pagina 87: "Procedura di Incident Response". Dodici paragrafi. Diagrammi di flusso. Riferimenti normativi. Tutto corretto. Tutto teorico.
"E chi esegue queste procedure?" chiede l'amministratore delegato.
Silenzio. Il consulente guarda il responsabile IT. Il responsabile IT guarda il suo portatile. Nessuno ha una risposta operativa.
È in quel momento che il presidente comprende: hanno prodotto documenti. Non hanno istituito governance.
Il Malinteso Più Costoso dell'Anno
La direttiva NIS2 (Network and Information Security Directive) è entrata in pieno vigore nel gennaio 2025, obbligando migliaia di aziende italiane — dalle utilities alle supply chain manifatturiere — ad adeguarsi entro il 17 ottobre 2024. Secondo stime di Confindustria Digitale, oltre 8.000 imprese italiane rientrano nell'ambito di applicazione tra soggetti essenziali e importanti.
Ma il dato più rilevante non è quante aziende sono coinvolte. È quante hanno frainteso cosa significhi "adeguarsi".
Un'indagine condotta da CLUSIT nel febbraio 2025 su un campione di 340 PMI manifatturiere lombarde soggette a NIS2 ha rilevato che l'83% ha affidato l'implementazione esclusivamente a consulenti esterni. Di queste, il 71% ha ricevuto come deliverable finale un set di documenti: policy, procedure, registri.
Solo il 19% ha istituito processi operativi governati dal vertice aziendale.
La differenza non è semantica. È sostanziale. E le conseguenze si misurano in audit falliti, sanzioni amministrative e — nei casi peggiori — incidenti di sicurezza che la "conformità documentale" non ha saputo prevenire.
Cosa Richiede Davvero la NIS2: Anatomia di un Equivoco
L'articolo 20 della direttiva è esplicito: "Gli organi di gestione delle entità sono tenuti ad approvare le misure di gestione dei rischi di cybersicurezza adottate e a supervisionarne l'attuazione".
Non dice "devono ricevere documentazione".
Dice "devono approvare" e "supervisionare".
Questo implica tre azioni operative, non documentali:
1. Delibera Consiliare sui Rischi Digitali
Il Consiglio di Amministrazione deve deliberare formalmente l'accettazione dei rischi cyber identificati. Non può delegarla al CISO o al responsabile IT. Deve assumerla direttamente, con verbale, perché la NIS2 considera la cybersecurity materia di governo societario, non tecnica.
Un esempio concreto: l'azienda bergamasca citata aveva nel registro dei rischi "Interruzione del sistema MES per ransomware — probabilità media, impatto alto". Ma il CdA non aveva mai deliberato se quel rischio fosse accettabile o se richiedesse investimenti in mitigazione. Il documento esisteva. La governance no.
2. Reporting Periodico al Vertice
La direttiva richiede che gli organi di gestione ricevano "almeno annualmente" informazioni sullo stato della cybersecurity. Ma "ricevere informazioni" non significa leggere un report trimestrale preparato dal CISO.
Significa istituire un processo di reporting strutturato dove:
- Il CISO presenta metriche operative (tempo medio di rilevamento incidenti, patch compliance rate, risultati di vulnerability assessment)
- Il CdA pone domande specifiche
- Le risposte vengono verbalizzate
- Le decisioni conseguenti vengono tracciate e monitorate
Nell'azienda bergamasca, il responsabile IT inviava via email al CFO un "Cyber Report" ogni trimestre. Il CFO lo archiviava. Nessuna discussione in CdA. Nessuna delibera. Conformità zero, documentazione perfetta.
3. Formazione Obbligatoria del Vertice
L'articolo 20, paragrafo 2, impone agli amministratori di "seguire formazione per acquisire conoscenze e competenze sufficienti a individuare e valutare i rischi di cybersicurezza".
Non formazione generica su "cosa è il phishing". Formazione specifica sul business risk derivante da minacce cyber: quanto costa un'interruzione produttiva, quali sono i requisiti contrattuali dei clienti tedeschi in materia di sicurezza della supply chain, cosa implica legalmente un data breach secondo il GDPR.
Dopo la riunione del 14 gennaio, il presidente del CdA dell'azienda bergamasca ha commissionato un corso di formazione esecutiva di otto ore per tutti gli amministratori. Durante il corso, è emerso che nessuno sapeva che il contratto con il cliente tedesco prevedeva penali del 2% del fatturato annuo in caso di incidente cyber non notificato entro 24 ore.
Quell'informazione non era in nessuno dei 247 pagine del documento di conformità.
Le Conseguenze dell'Illusione Documentale
Tre mesi dopo quella riunione, l'azienda bergamasca ha subito un tentativo di attacco ransomware. Un dipendente del reparto acquisti ha cliccato su un allegato malevolo. L'endpoint detection and response (EDR) ha bloccato il payload. Incidente contenuto.
Ma poi è iniziato il vero problema.
La "Procedura di Incident Response" — pagina 87 del documento di conformità — prevedeva:
- Notifica al CISO entro 1 ora
- Valutazione dell'impatto entro 4 ore
- Notifica al CSIRT nazionale se impatto significativo
- Comunicazione al CdA
Realtà:
- Il ruolo di CISO non era assegnato formalmente a nessuno
- Il responsabile IT ha scoperto l'incidente due giorni dopo, leggendo i log dell'EDR
- Nessuno sapeva come contattare il CSIRT
- Il CdA è stato informato tre settimane dopo, durante la riunione ordinaria
Se l'attacco fosse andato a buon fine, l'azienda avrebbe violato l'articolo 23 della NIS2 (obblighi di notifica) non per mancanza di procedure, ma per assenza di governance operativa.
Il costo stimato di un audit ispettivo fallito: sanzioni amministrative fino a 10 milioni di euro o 2% del fatturato mondiale annuo, secondo l'articolo 34. Per quell'azienda, con 28 milioni di fatturato, significa fino a 560.000 euro.
Ma il costo reale sarebbe stato un altro: la rescissione del contratto con il cliente tedesco, che rappresenta il 34% del fatturato. Perché quel contratto prevede clausole di cybersecurity che richiedono non documenti, ma evidenze operative di governance.
Dalla Conformità Documentale alla Governance Operativa
Dopo l'incidente, il CdA dell'azienda bergamasca ha commissariato una revisione completa dell'approccio NIS2. Non hanno cestinato il documento di 247 pagine — le policy sono necessarie — ma hanno istituito cinque meccanismi di governance:
Comitato Rischi Cyber: riunione trimestrale presieduta dall'AD, con partecipazione obbligatoria di CISO (ruolo ora assegnato formalmente), CFO, responsabile produzione, responsabile qualità. Verbale depositato agli atti societari.
Dashboard Esecutiva in Real-Time: il CdA accede a una dashboard cloud con metriche operative aggiornate settimanalmente: numero di tentativi di intrusione bloccati, percentuale di endpoint con patch critiche applicate, tempo medio di remediation delle vulnerabilità.
Simulazioni di Incidente: due volte l'anno, il CISO avvia senza preavviso una simulazione di attacco ransomware. Il CdA osserva come l'organizzazione reagisce. I gap emersi diventano delibere di investimento.
Audit Terzo Indipendente: ogni 18 mesi, un auditor esterno verifica non i documenti, ma l'operatività: chiama numeri di emergenza, testa procedure, intervista dipendenti. Il report va direttamente al CdA.
Formazione Continua: ogni amministratore dedica 12 ore annue a formazione cyber specifica per il business dell'azienda.
Per implementare questa governance, l'azienda si è affidata a partner specializzati. BullTech, ad esempio, ha supportato l'integrazione degli strumenti di monitoraggio con la dashboard esecutiva e ha erogato la formazione tecnica al personale operativo, consentendo al CISO di concentrarsi sul reporting strategico al vertice.
Ma il punto cruciale è un altro: la governance non è stata delegata. È stata assunta.
Il Vero Costo della Conformità: Tempo del Vertice
Sei mesi dopo la riunione del 14 gennaio, il presidente del CdA dell'azienda bergamasca ha calcolato quanto tempo gli amministratori dedicano ora alla cybersecurity: 28 ore annue procapite tra comitati, formazione, review di report.
"Prima pensavamo che bastasse pagare un consulente," ha dichiarato in un'intervista a una rivista di settore. "Ora sappiamo che la NIS2 ci chiede di mettere in gioco il nostro tempo e la nostra responsabilità personale. Ma è giusto così. Perché se un attacco riesce, non possiamo dire 'non lo sapevamo'. La legge ci considera responsabili. E i nostri clienti anche."
Il paradosso della NIS2 è questo: richiede meno carta e più presenza. Meno PDF e più delibere. Meno procedure teoriche e più esercitazioni pratiche.
E soprattutto, richiede che il vertice aziendale smetta di considerare la cybersecurity un tema IT e inizi a trattarla per quello che è: un rischio d'impresa che può distruggere valore in 72 ore.
Le aziende che hanno capito questo — quelle che hanno trasformato la NIS2 da obbligo documentale a leva di governance — stanno scoprendo un effetto collaterale inatteso: migliore controllo operativo, decisioni più rapide, cultura della sicurezza diffusa.
Quelle che hanno prodotto 247 pagine e pensato di aver finito stanno solo aspettando il primo audit. O il primo incidente.
La domanda non è se la tua azienda ha documenti conformi alla NIS2. È se il tuo Consiglio di Amministrazione sa cosa fare lunedì mattina alle 9:33, quando l'EDR segnala un'anomalia critica.