Ruolo delle Società In-house nella conformità pratica alla Direttiva NIS2: confronto di esperienze e best practices

Negli ultimi dodici mesi l’attuazione della direttiva NIS2 è passata dalle prime indicazioni normative alla definizione dettagliata di un piano di adeguamento. Gli Enti della PA hanno ottemperato alle fasi di registrazione/assegnazione dei ruoli richiesti, definito le policy di gestione incidenti ed hanno iniziato ad implementare gran parte delle specifiche di base. Ora si è iniziato ad affrontare la fase più strategica: formare adeguatamente il personale, mappare in modo rigoroso i sistemi rilevanti, rafforzare le capacità di monitoraggio e, soprattutto, evolvere il processo di analisi del rischio continuo, vero elemento cardine della direttiva e punto da cui dipende la sua efficacia complessiva.

La crescente complessità delle minacce richiede oggi non solo sistemi più robusti, ma anche una intelligence tempestiva e affidabile, sostenuta da una condivisione strutturata degli indicatori attraverso piattaforme interoperabili come MISP, in grado di trasformare informazioni frammentate in valore operativo. Il prossimo passaggio chiave sarà la categorizzazione dei servizi in funzione della loro criticità e del loro impatto, così da orientare investimenti, priorità e misure di sicurezza in modo realmente proporzionato al rischio.

In questo percorso, le società in‑house stanno assumendo un ruolo determinante: accompagnano gli Enti nella compliance, garantiscono continuità operativa e mettono a disposizione competenze maturate sul campo — dalla gestione della sicurezza cyber in grandi eventi internazionali, ai modelli CSIRT regionali, fino agli approcci più evoluti alla gestione della supply chain. Un contributo che non solo facilita l’adozione della direttiva, ma permette di trasformare gli obblighi normativi in una reale e sostenibile capacità di difesa cyber.

Modera Enzo Veiluva, CSI Piemonte, CD Clusit

Intervengono: