Le nuove determine pubblicate dall’ACN (Agenzia per la Cybersicurezza Nazionale) hanno definito i termini e le modalità di utilizzo del Portale Nis 2 e i tempi di adozione delle misure di sicurezza. Tra le novità di maggior rilievo, è stato introdotto l'obbligo di censire i propri "Fornitori rilevanti NIS" all'interno del processo di aggiornamento annuale delle informazioni. La portata di queste novità riflette però anche un cambio di paradigma: la cybersecurity aziendale sta diventando un asse strategico per la crescita e la resilienza delle organizzazioni.
A livello internazionale, la cybersecurity continua a crescere sotto la spinta combinata di NIS2, intelligenza artificiale e cloud. Secondo Gartner, la spesa globale raggiungerà i 213 miliardi di dollari nel 2025, con una crescita a doppia cifra prevista anche nel 2026.
Anche in Italia il mercato mostra un’accelerazione significativa: secondo l’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, il valore complessivo raggiunge 2,78 miliardi di euro nel 2025, con una crescita del 12%.
In parallelo, come evidenziato da IDC, si osserva un progressivo passaggio da modelli di sicurezza reattivi a modelli data-driven e integrati nei processi IT, a conferma di un cambiamento strutturale nel modo in cui le organizzazioni affrontano la cybersecurity.
Uno degli elementi più rilevanti della NIS2 è l’ampliamento del perimetro dei soggetti coinvolti. La direttiva introduce una visione sistemica che include anche la supply chain: un incidente informatico può infatti propagarsi lungo tutta la filiera, con impatti su produzione, logistica e disponibilità dei beni. La cybersecurity si trasforma in un tema di ecosistema, dove la protezione di un singolo attore contribuisce alla resilienza dell’intero sistema, anche per realtà legate alla sicurezza informatica delle PMI.
Le nuove determine introducono l’obbligo di censire i cosiddetti “fornitori rilevanti NIS” all’interno di un processo di aggiornamento annuale.
Un fornitore è considerato rilevante quando:
Il concetto di non fungibilità è particolarmente importante e si basa su due criteri:
1. Impatto significativo: l’interruzione del servizio compromette la capacità di erogare servizi essenziali;
2. Assenza di alternative: non esistono fornitori sostitutivi o non sono disponibili in tempi brevi.
Questa classificazione obbliga le aziende a conoscere in profondità la propria catena di approvvigionamento e a valutarne i rischi in modo strutturato. Non si tratta più solo di proteggere i sistemi interni, ma di garantire la continuità operativa dell’intero ecosistema.
"Deda Tech ha accompagnato Conserve Italia in un percorso strutturato di adeguamento alla NIS2, partendo da analisi del perimetro, valutazione dei rischi e gap analysis, su cui è stata definita una roadmap pluriennale orientata alle reali priorità operative. In questo modo, l’azienda può indirizzare gli investimenti in maniera efficace e trasformare un obbligo normativo in un percorso strutturato di rafforzamento."
Le scadenze NIS 2 da rispettare sono:
-Aggiornamento annuale: le informazioni (inclusi i fornitori) devono essere aggiornate ogni anno nel periodo compreso tra il 15 aprile e il 31 maggio.
-Misure di sicurezza: per i soggetti inseriti nell'elenco nel 2026, il termine per adottare le misure di sicurezza è fissato al 31 luglio 2027, mentre l'obbligo di notifica degli incidenti decorrerà dal 1° gennaio 2027.
Per ogni fornitore rilevante, l’utente dovrà indicare sulla piattaforma:
1. denominazione e Codice Fiscale;
2. paese della sede legale;
3. codici CPV (Common Procurement Vocabulary) relativi alle forniture;
4. il criterio di rilevanza applicato.
Sezione commenti: