Caro Diario,
oggi voglio parlarti della NIS2, e per una volta, voglio farlo con ottimismo. Lo so, lo so… di solito quando arriva una nuova normativa, noi CISO ci prepariamo a un’ondata di scartoffie, audit e ansia da compliance. Ma stavolta è diverso.
Questa direttiva non si limita a imporre obblighi alle aziende, ma spinge davvero verso un cambio di mentalità. Non sarà sufficiente acquistare qualche soluzione e dichiararsi conformi: la NIS2 alza l’asticella e mette al centro la consapevolezza sulla cybersecurity. Finalmente, qualcuno ha capito che la sicurezza non è solo tecnologia, ma anche persone e processi.
NIS2: cosa cambia per le aziende?
Le nuove regole puntano su tre pilastri fondamentali:
✅ Gestione del rischio: niente più approcci improvvisati, servono strategie chiare e strutturate.
✅ Monitoraggio e prevenzione: l’attenzione deve essere continua, non solo un controllo una tantum.
✅ Formazione obbligatoria: ed è qui che le cose si fanno davvero interessanti.
Per la prima volta, una normativa ci dice apertamente che non basta un corso ogni tanto per considerarsi in regola. Bisogna costruire una cultura della sicurezza, con un approccio misurabile e continuativo.
La piattaforma? Non è il punto centrale
Qui arriva la parte che forse non ti aspetti. In fondo, che tu scelga SMARTFENSE, Cyber Guru o un’altra piattaforma, il concetto non cambia: tutte possono fornire strumenti utili per la compliance.
La vera differenza sta in come le usi.
Perché, Caro Diario, avere la piattaforma più potente ma non usarla davvero è come comprare una Ferrari e poi lasciarla in garage perché hai paura di sporcarla. O peggio, è come iscriversi in palestra, pagare l’abbonamento per un anno e poi non andarci mai: tecnicamente sei un cliente del fitness, ma la tartaruga addominale continua a restare in letargo sotto un bel cuscinetto di comodità.
E se vogliamo essere ancora più diretti, è un po’ come… beh, hai presente Rocco Siffredi? Non credo abbia mai avuto problemi di strumentazione, ma immagina se si fosse fatto una carriera da bibliotecario. Ecco, comprare la piattaforma migliore e non usarla per quello che serve sarebbe un peccato dello stesso calibro.
Quindi, invece di pagare per una piattaforma e poi lasciarla lì a prendere polvere, meglio mettersi all’opera e usarla per quello che è stata progettata:
🔹 Creare campagne di awareness che non siano solo un obbligo formale, ma che facciano davvero la differenza.
🔹 Adattare la formazione ai diversi ruoli e livelli di rischio in azienda.
🔹 Coinvolgere i dipendenti, renderli parte attiva della sicurezza, non semplici spettatori.
Se la piattaforma viene usata con criterio, i risultati si vedono. Se invece resta lì, senza un vero piano, il rischio è quello di fare compliance solo sulla carta.
Non è solo una questione di regole, ma di cambiamento
Caro Diario, oggi la cybersecurity è una responsabilità condivisa. La NIS2 ci offre finalmente l’opportunità di cambiare il modo in cui affrontiamo la formazione: non più un obbligo da sbrigare, ma un obiettivo da raggiungere.
Misurare i progressi? Ne parlerò un’altra volta. Così come di un gestore delle normative che ci aiuti a tenere traccia del nostro percorso verso la compliance. Per oggi, mi porto a casa una certezza: la sicurezza non è mai stata solo tecnologia, ma soprattutto persone.
E per una volta, la normativa sembra averlo capito anche lei.
Alla prossima sfida… perché i Distratti troveranno sempre nuovi modi per mettermi alla prova!
Indice del Diario
0- Diario di un CISO che fa Awareness
1- Piattaforme di Awareness: Come fare la scelta intelligente
2- Le simulazioni di phishing non funzionano… o quasi
3- Integrazione con Microsoft e Google: un passo avanti per gestire I Distratti
4- Compliance NIS2: non basta spuntare una casella, serve consapevolezza
5- Prossimamente…
