Primo piano Politica industriale PNRR Incentivi Opinioni Interviste Robotica Automazione industriale Appuntamenti Podcast Innovation Books

cyber security

Dal rischio alla strategia: il metodo Accenture per adeguarsi alla NIS2

Home Tecnologie Industrial Security
Partecipa al dibattito
Indirizzo copiato

La direttiva NIS2 spinge le imprese a un approccio proattivo alla sicurezza. Silvia Basanisi di Accenture illustra una metodologia che integra analisi del rischio, governance e cultura organizzativa per una compliance sostenibile e continua

Pubblicato il 25 nov 2025
nis2_innovationpost

La direttiva europea NIS2 ha imposto una svolta nel modo in cui le imprese affrontano la sicurezza informatica. È un cambio di paradigma che porta la cybersecurity al centro della governance aziendale.

Durante una sessione dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, Silvia Basanisi, Security Consulting Consultant di Accenture, ha illustrato un approccio metodologico che accompagna le organizzazioni nel percorso di adeguamento alla NIS2, unendo analisi del rischio, pianificazione operativa e cultura della sicurezza.

Indice degli argomenti

NIS2 come punto di svolta nella cultura aziendale

L’entrata in vigore della NIS2 segna un’evoluzione significativa rispetto alla precedente direttiva del 2016. La norma amplia il numero di soggetti coinvolti, introduce obblighi più stringenti in materia di gestione del rischio e, soprattutto, attribuisce responsabilità diretta agli organi di governo.

Come ha spiegato Silvia Basanisi, «non basta più garantire la sicurezza dei sistemi: le imprese devono dimostrare di avere un approccio strutturato, che colleghi il rischio operativo alla governance e alla strategia».

Questa impostazione ha un impatto trasversale, che coinvolge tecnologia, organizzazione e processi decisionali. «La NIS2 richiede di passare da un modello reattivo a un modello proattivo di gestione della sicurezza», ha aggiunto Basanisi. «Il focus si sposta sulla capacità di prevenire gli incidenti e di gestirli in modo coordinato, con ruoli e responsabilità chiaramente definiti».

Dal gap assessment al piano di adeguamento

Il percorso di adeguamento delineato da Accenture si fonda su un approccio graduale, che parte da una valutazione di maturità rispetto ai requisiti NIS2 e si sviluppa in un piano di intervento personalizzato per ciascuna organizzazione.

La metodologia, ha spiegato Basanisi, prevede tre fasi principali:

  1. Assessment del livello di conformità e mappatura dei processi esistenti.
  2. Gap analysis rispetto ai requisiti previsti dalla direttiva.
  3. Roadmap operativa con obiettivi, tempistiche e risorse per l’adeguamento.

Il primo passo consiste nell’identificare il perimetro di applicazione della NIS2, che include sia gli operatori di servizi essenziali sia le entità che forniscono servizi digitali critici. L’analisi si concentra sui processi, sulle tecnologie e sui fornitori coinvolti nella gestione di tali servizi.

«Molte aziende si trovano a scoprire per la prima volta la propria esposizione al rischio», ha osservato Basanisi. «Il valore dell’assessment è proprio quello di rendere visibile ciò che spesso non è percepito, e di collegare la gestione tecnica alla responsabilità manageriale».

Integrare tecnologia e governance

Uno degli aspetti centrali della metodologia presentata è la integrazione tra governance e tecnologia. La NIS2 impone un modello di sicurezza distribuito, in cui le misure tecniche devono essere sostenute da politiche organizzative solide e da un sistema di controllo continuo.

Per questo, Accenture propone un approccio “risk-based”, che parte dalla valutazione del rischio per definire priorità e investimenti. «Ogni misura di sicurezza deve essere giustificata rispetto al rischio che si intende mitigare», ha spiegato Basanisi. «In questo modo, le aziende evitano approcci puramente formali e costruiscono un piano sostenibile nel tempo».

L’obiettivo è creare un sistema integrato di gestione, in cui la cybersecurity non sia più un comparto separato ma un pilastro della strategia aziendale. Questo richiede anche un cambiamento culturale, che coinvolge formazione, comunicazione interna e responsabilizzazione del management.

Il ruolo dei fornitori e della supply chain

Un punto cruciale della NIS2 riguarda la gestione della catena di fornitura. Le aziende non sono più responsabili solo della propria sicurezza, ma anche di quella dei partner che contribuiscono ai processi critici.

«La sicurezza della supply chain è uno degli aspetti più delicati», ha sottolineato Basanisi. «Occorre garantire che i fornitori rispettino standard coerenti e che le relazioni contrattuali prevedano controlli e verifiche periodiche».

Questo implica un cambio di mentalità anche nei rapporti commerciali. Le imprese devono introdurre meccanismi di audit e valutazione del rischio per i fornitori, ma anche percorsi di collaborazione e supporto. «La logica non deve essere punitiva», ha chiarito, «bensì orientata alla costruzione di una rete di fiducia, in cui tutti gli attori condividano obiettivi comuni di resilienza».

La formazione come elemento di resilienza

La conformità normativa, secondo Basanisi, è solo il punto di partenza. La vera sfida della NIS2 è costruire una cultura diffusa della sicurezza. «La tecnologia da sola non basta. È necessario che le persone comprendano i rischi e siano parte attiva nella loro mitigazione».

Accenture ha sviluppato programmi di formazione mirata rivolti a diversi livelli aziendali: dal top management, chiamato a comprendere le implicazioni legali e strategiche, fino agli operatori tecnici, che devono applicare le procedure di sicurezza quotidianamente.

«La NIS2 introduce il concetto di accountability: ognuno, dal consiglio di amministrazione ai reparti operativi, ha un ruolo nella protezione del patrimonio informativo», ha spiegato Basanisi.

L’obiettivo è creare un ecosistema aziendale in cui la sicurezza sia considerata parte integrante della qualità dei processi e della continuità operativa.

Monitoraggio e miglioramento continuo

Un altro elemento chiave della metodologia è il monitoraggio continuo. Le misure di sicurezza, per essere efficaci, devono essere costantemente verificate, aggiornate e adattate ai nuovi scenari di rischio.

«Non esiste una compliance definitiva», ha osservato Basanisi. «La NIS2 chiede alle aziende di costruire un meccanismo di miglioramento continuo, in cui ogni incidente diventa un’opportunità per rafforzare il sistema».

Questo approccio dinamico si basa sull’uso di indicatori di performance (KPI) e di strumenti di audit che permettono di valutare periodicamente la maturità organizzativa. I risultati vengono poi integrati nei piani strategici, creando un ciclo virtuoso di aggiornamento e ottimizzazione.

Verso un modello sostenibile di sicurezza

La metodologia proposta da Accenture evidenzia come la NIS2 possa essere interpretata non solo come un vincolo normativo, ma come una leva di innovazione organizzativa. Il processo di adeguamento diventa un’occasione per ridefinire ruoli, standard e priorità, migliorando l’efficienza complessiva del sistema aziendale.

«La direttiva spinge le imprese a misurarsi con la propria maturità digitale», ha concluso Basanisi. «Chi saprà integrarla in modo coerente, andrà oltre la compliance e costruirà un vantaggio competitivo basato sulla fiducia e sulla resilienza».L’adozione di un approccio strutturato, orientato alla Governance del rischio e alla responsabilità diffusa, permette di trasformare la sicurezza da adempimento a fattore di valore. È questa, secondo Basanisi, la vera eredità della NIS2.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Mattia Lanzarone
Appassionato di videogiochi, musica e cultura digitale, ho sempre vissuto la tecnologia prima di tutto come spazio di scoperta e immaginazione. Dopo la laurea in Scienze Umanistiche per la Comunicazione all’Università degli Studi di Milano e un master in Editoria e Produzione Musicale e Audiovisiva alla Scuola di Comunicazione IULM, mi sono dedicato alla creazione di contenuti e alla definizione del linguaggio di progetti innovativi. Ho lavorato su tone of voice e brand book per esperienze tecnologiche come Futura by Plenitude, affiancando brand e istituzioni nella narrazione di percorsi immersivi e digitali.

Leggi anche:

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Safety e security “by design”

  • CYBER SECURITY

    Tutto quello che c'è da sapere sulla direttiva NIS2

    03 Mag 2025

    di Redazione

    Condividi
  • compliance-nis-2-innovationpost

  • cyber security

    Supply chain globale e sicura attraverso la compliance NIS2: il modello Fincantieri

    07 Nov 2025

    di Mattia Lanzarone

    Condividi
  • gestione-del-rischio-cyber-nella-supply-chain-innovationpost

  • cyber security

    Gestione del rischio cyber nella supply chain: la strategia di Ansaldo Energia

    06 Nov 2025

    di Mattia Lanzarone

    Condividi
  • cybersecurity-industriale-innovation-post

  • Cybersecurity industriale, come e perché cambia la protezione dei sistemi OT

    21 Nov 2025

    di Valentina Caruso

    Condividi