Field notes

NIS 2 È in vigore. Il suo regolatore non aspetta.

Come passare da "Ho letto la direttiva" a "So come implementarla" in 5 giorni. 4–8 maggio, online.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy6 min di lettura
NIS 2 Is Live. Your Regulator Won’t Wait.

Andiamo al sodo

La scadenza per il recepimento della Direttiva NIS 2 era ottobre 2024. La maggior parte degli Stati membri dell'UE l'ha già recepita nel diritto nazionale o si trova nelle fasi finali di tale processo. I meccanismi di enforcement sono in fase di attivazione. Le autorità di regolamentazione stanno assumendo personale. I quadri di vigilanza stanno entrando in vigore.

Eppure, quando parlo con CISO, responsabili compliance e IT manager in tutta Europa, la conversazione suona quasi sempre uguale:

“We know NIS 2 applies to us. We’ve read the directive. But we haven’t actually started implementing.”

Se è questa la sua situazione, questo articolo è il suo campanello d'allarme. E la sua soluzione.

Il divario di cui nessuno parla

Ecco il punto su NIS 2: è una direttiva, non un manuale operativo.

Indica COSA occorre raggiungere. Non dice COME arrivarci. Ed è sul "come" che la maggior parte delle organizzazioni è completamente bloccata.

Si dispone di oltre 50 pagine di testo normativo. Si comprendono l'ambito di applicazione, i settori, gli obblighi di notifica. Ma quando arriva il lunedì mattina e si deve concretamente costruire un framework di governance, condurre una valutazione del rischio che soddisfi l'Articolo 21, predisporre la gestione degli incidenti con preavviso di 24 ore e tempistiche di notifica di 72 ore, e documentare le misure di sicurezza della supply chain…

Da dove si inizia?

Quel divario, tra la comprensione della direttiva e la sua implementazione, è esattamente il punto in cui i professionisti rimangono bloccati per mesi. E mesi sono tempo che non si ha.

Cosa distingue NIS 2 da tutto il resto

Chi ha lavorato con ISO 27001, GDPR o altri framework di sicurezza potrebbe pensare che NIS 2 sia solo un'altra casella di conformità da spuntare. Non è così. Ecco perché:

  • Responsabilità personale del management. NIS 2 attribuisce responsabilità personale al senior management. Non all'organizzazione. A Lei. Se è il CISO o il responsabile compliance, il dito è puntato su di Lei quando le cose vanno storte.
  • Notifica obbligatoria degli incidenti con scadenze fisse. 24 ore per il preavviso. 72 ore per la notifica completa. Nessuna flessibilità, nessun "ci facciamo vivi la settimana prossima".
  • La sicurezza della supply chain non è facoltativa. Non è sufficiente dire "ci fidiamo dei nostri fornitori". Servono valutazioni documentate, obblighi contrattuali e monitoraggio continuativo.
  • Sanzioni significative. Fino a 10 milioni di euro o il 2% del fatturato annuo globale per i soggetti essenziali. E l'organizzazione può essere nominata pubblicamente.
  • Obblighi transfrontalieri. Chi opera in più Stati membri dell'UE si confronta con molteplici recepimenti nazionali della stessa direttiva. Una complessità moltiplicata.

ISO 27001 è un'ottima base di partenza. Ma non copre le tempistiche obbligatorie di notifica previste da NIS 2, i requisiti settoriali specifici, né le disposizioni sulla responsabilità del management. Serve il playbook specifico per NIS 2.

Le 5 domande che farà il suo regolatore

Quando l'autorità nazionale busserà alla sua porta, e lo farà, ecco cosa vorrà vedere:

  • Governance: Dispone di un framework di governance della cybersecurity con ruoli, responsabilità e supervisione del management chiaramente definiti? Può dimostrare il coinvolgimento attivo del senior management?
  • Gestione del rischio: Ha condotto una valutazione formale del rischio? È documentata? È collegata a controlli specifici? Può mostrare come ha definito le priorità?
  • Gestione degli incidenti: Dispone di un piano di risposta agli incidenti testato? Rispetta gli obblighi di notifica entro 24h/72h? Ha effettivamente condotto delle esercitazioni?
  • Supply chain: Come valuta e gestisce i rischi di cybersecurity nella sua supply chain? Quali contratti, controlli e meccanismi di monitoraggio ha predisposto?
  • Miglioramento continuo: Come misura la sua postura di cybersecurity? Quali metriche riporta? Come testa e migliora nel tempo?

Se non è in grado di rispondere a tutte e cinque con prove, documentazione e sicurezza, ha un gap di conformità. E quel gap ha un costo.

4-8 maggio: colmare il divario in 5 giorni

È qui che entra in gioco il nostro corso NIS 2 Directive Lead Implementer.

Dal 4 all'8 maggio, organizziamo un gruppo live online, in inglese, che la guida attraverso l'intero processo di implementazione di NIS 2. Non la teoria. Non il testo normativo. La metodologia concreta.

Ecco come si struttura la settimana:

GiornoFocusLun, 4 maggioFondamenti di NIS 2, requisiti, definizione dell'ambito organizzativo, avvio del progetto di implementazioneMar, 5 maggioStruttura di governance, ruoli e responsabilità, gestione degli asset, metodologia di gestione del rischioMer, 6 maggioControlli di cybersecurity, sicurezza della supply chain, gestione degli incidenti, framework di gestione delle crisiGio, 7 maggioContinuità operativa, programmi di sensibilizzazione e formazione, testing, metriche e monitoraggio, miglioramento continuo

Nel giro di poche settimane, diventa un NIS 2 Directive Lead Implementer certificato.

Cosa porta concretamente a casa

Permetta di essere preciso, perché "imparerà molto" non è una proposta di valore:

  • Una roadmap di implementazione completa da presentare al consiglio di amministrazione il lunedì mattina. Non "appunti da un corso", ma un piano strutturato con fasi, milestone e deliverable.
  • Framework di risposta agli incidenti conformi alle tempistiche obbligatorie di notifica 24h/72h previste da NIS 2. Documentati, testati, difendibili.
  • Una metodologia di valutazione del rischio costruita attorno a scenari reali, non esempi da manuale. Sa come valutare, priorizzare e documentare i rischi in modo da soddisfare gli auditor.
  • Approcci alla sicurezza della supply chain che vanno oltre il "i nostri fornitori hanno firmato un NDA". Framework di valutazione concreti, requisiti contrattuali e monitoraggio continuativo.
  • La certificazione PECB Certified NIS 2 Directive Lead Implementer riconosciuta in tutta Europa, con la garanzia Certified or Refunded.
  • Il tipo di sicurezza che deriva dal sapere esattamente cosa si sta facendo, non dall'improvvisare.

Perché questo corso è diverso

Esistono altri corsi su NIS 2. La maggior parte è tenuta da docenti che leggono slide sulla direttiva. Qui non funziona così.

Sono un CISO in attività. Gestisco implementazioni NIS 2 per organizzazioni in tutta Europa. Quando insegno la gestione degli incidenti, è perché ho costruito programmi di risposta agli incidenti. Quando insegno la gestione del rischio, è perché mi sono seduto di fronte agli auditor e ho difeso valutazioni del rischio. Gli esempi di questo corso sono reali. La metodologia è testata. Le esperienze sul campo sono le mie.

Non si tratta di un esercizio teorico. È un trasferimento intensivo e concentrato di know-how implementativo da parte di chi svolge questo lavoro ogni giorno.

E se non supera l'esame? La rimborsiamo. Questa è la nostra garanzia Certified or Refunded. Nessuna clausola nascosta. Nessuna condizione oltre al completamento del corso e al sostenimento dell'esame.

Fa al caso suo?

Questo corso è pensato per i professionisti che hanno finito di leggere di NIS 2 e sono pronti ad implementarla:

  • CISO e security manager che guidano (o stanno per guidare) progetti di conformità a NIS 2
  • Responsabili GRC e compliance incaricati di tradurre la direttiva in realtà operativa
  • IT manager nei settori delle infrastrutture critiche: energia, trasporti, sanità, servizi digitali e gli altri 18 settori ora in ambito di applicazione
  • Consulenti che assistono i clienti su NIS 2 e hanno bisogno della certificazione a supporto
  • Risk manager che integrano i requisiti NIS 2 nei framework di enterprise risk management

Non è il profilo giusto? Se cerca un'introduzione di alto livello a cosa è NIS 2 e a chi si applica, il nostro corso NIS 2 Foundation è il punto di partenza più adatto. Il percorso Lead Implementer presuppone che abbia già superato il "cosa" e sia pronto per il "come".

Prenoti il suo posto

NIS 2 Directive Lead Implementer

4-8 maggio 2025 | Live Online | Inglese

Esame di certificazione PECB incluso | 31 crediti CPD

Garanzia Certified or Refunded

I posti sono limitati. Manteniamo i gruppi piccoli per garantire interazione reale, domande reali e risposte reali.

→ Riservi il suo posto ora

Vuoi la prossima nota dal campo nella tua casella di posta?

La newsletter The GRC Brief. Cinque link e un breve commento, ogni lunedì alle 8:00 CET. Tre minuti di lettura.