NIS2, infrastrutture critiche e cyber-incidenti: perché il “fare sicurezza” non è più opzionale
Per anni “resilienza” e “cybersecurity” sono state parole da slide.
Nel 2026 diventano, semplicemente, obblighi.
Non perché l’Europa si sia improvvisamente innamorata della burocrazia, ma perché gli attacchi e gli incidenti hanno ormai la frequenza di un fenomeno strutturale: colpiscono ospedali, trasporti, comuni, industria, logistica, energia. E quando salta un servizio essenziale, a pagare non è un server: è la vita quotidiana.
In Italia, i numeri del 2025 sono un campanello d’allarme che non si può ignorare: il Rapporto Clusit (ottobre 2025) segnala 2.755 incidenti cyber rilevati nel primo semestre 2025, con una media di 15 incidenti gravi al giorno nel mondo (contro i 9 dell’ultimo semestre 2024). E sottolinea che l’Italia è bersaglio in modo sproporzionato: circa il 10% degli attacchi globali, con settori governativo/militare/forze dell’ordine e trasporti particolarmente colpiti.
In parallelo, l’Europa codifica una svolta: dal 16 ottobre 2024 è entrata in vigore in Italia la nuova normativa NIS, con ACN come Autorità competente, e i soggetti coinvolti hanno dovuto registrarsi sul portale dedicato.
E con la direttiva “CER” (Critical Entities Resilience) recepita con D.Lgs. 134/2024, l’Italia ha anche definito un nuovo impianto per la resilienza delle entità critiche “fisiche”, con comitati e autorità di settore e scadenze precise.
Il messaggio, in sintesi, è questo:
nel 2026 resilienza = conformità + capacità reale di reggere un incidente.
1) NIS2: non è più solo “IT”. È gestione del rischio
La normativa NIS (attuazione italiana di NIS2) è un cambio di paradigma: non chiede “un antivirus migliore”, chiede che la sicurezza diventi un processo aziendale e pubblico misurabile:
- governance (chi decide, chi risponde),
- gestione del rischio,
- prevenzione e monitoraggio,
- notifica degli incidenti,
- continuità operativa e ripristino.
ACN, sul portale NIS, chiarisce che i soggetti a cui si applica la normativa devono registrarsi e rispettare obblighi specifici.
Questo significa che molte organizzazioni – anche non “tech” – nel 2026 si troveranno davanti a una domanda nuova e scomoda:
“Se domani vado giù per ransomware, quanto tempo ci metto a ripartire e chi lo paga?”
Per un CIO o un CISO è una domanda tecnica.
Per un sindaco o un direttore sanitario è una domanda di servizio pubblico.
Per un cittadino è la differenza tra “il sistema è lento” e “il sistema è fermo”.
2) CER: la resilienza non è solo digitale
La direttiva CER (recepita con D.Lgs. 134/2024) sposta l’attenzione su tutto ciò che è “critico” anche senza internet: energia, acqua, trasporti, sanità, finanza, infrastrutture materiali e servizi essenziali.
Il decreto istituisce organismi centrali e autorità competenti di settore e prevede che vengano individuati gli elenchi dei soggetti critici entro il 17 gennaio 2026.
Tradotto: nel 2026 la resilienza diventa anche fisica e organizzativa.
Non solo “proteggere i dati”, ma proteggere:
- continuità di energia e trasporti,
- catene di fornitura,
- capacità di operare in emergenza,
- ripristino rapido dei servizi essenziali.
Chi lavora in protezione civile, infrastrutture, logistica, sanità lo sa già: l’emergenza non è l’evento, è il dopo.
3) Perché nel 2026 non basterà “fare compliance”
Qui arriva il punto più delicato.
In Italia, come spesso accade, c’è il rischio di interpretare NIS2 e CER come “un pacchetto documentale”: policy, procedure, audit, checklist. Una compliance che “sta in piedi” fino al primo incidente vero.
Ma la minaccia non è teorica.
ENISA, nel Threat Landscape 2025, descrive un contesto europeo in cui gruppi diversi (criminali, hacktivisti, attori statuali) convergono, riusano tecniche e strumenti, sfruttano vulnerabilità e collaborano, prendendo di mira la resilienza dell’infrastruttura digitale europea.
Il punto, quindi, è semplice:
se fai compliance senza costruire capacità operative reali, nel 2026 perdi due volte:
- perdi il servizio quando arriva l’attacco,
- perdi in sanzioni e responsabilità quando devi dimostrare cosa hai fatto prima.
4) Chi deve interessarsene, davvero
Questo tema non riguarda solo “gli informatici”.
- PA e Comuni: perché i servizi digitali (anagrafe, pagamenti, emergenze) sono già infrastruttura civile.
- Sanità: perché un ransomware non è un disservizio IT, è un rischio clinico.
- Trasporti e logistica: perché bloccare un nodo significa bloccare l’economia reale.
- Industria: perché fabbriche e supply chain oggi sono sistemi cyber-fisici.
E riguarda anche i cittadini: perché la resilienza nazionale è la somma di tante resilienze locali. Se il comune è vulnerabile, lo sei anche tu.
5) Cosa dovrebbe fare l’Italia nel 2026 (oltre le circolari)
Con lo sguardo di The Integrity Times, l’Italia dovrebbe puntare a tre risultati concreti:
1) Passare dalla sicurezza “a progetto” alla sicurezza “a sistema”
Non basta un fornitore e un SOC esterno: servono responsabilità interne, processi, esercitazioni, ruoli chiari.
2) Rendere misurabile la resilienza
Non “abbiamo fatto la policy”, ma:
- tempi di ripristino (RTO),
- perdita massima accettabile di dati (RPO),
- frequenza di esercitazioni,
- catena decisionale in crisi,
- test reali (table-top + tecnici).
3) Investire sul fattore umano
Molti incidenti nascono da phishing, errori, mancate patch, cattiva igiene digitale. ENISA segnala che il phishing resta un vettore dominante, con un’industrializzazione crescente dei servizi “as-a-service”.
Formazione e cultura non sono “soft”: sono difesa primaria.
La domanda che conta
Il 2026 non sarà ricordato come l’anno in cui “abbiamo recepito una direttiva”.
Sarà ricordato come l’anno in cui abbiamo capito (o no) una cosa:
La resilienza non si dichiara. Si dimostra quando qualcosa va storto.
NIS2 e CER ci obbligano finalmente a smettere di improvvisare: non perché l’Europa ami le regole, ma perché l’assenza di regole, in un Paese digitale e interdipendente, costa troppo.
E qui sta l’ultima domanda, quella che separa la politica dagli slogan:
Vogliamo un’Italia che compila checklist o un’Italia che, quando colpita, sa continuare a funzionare?
Riproduzione riservata © Copyright “The Integrity Times“
