ARTICOLO / 25 GIUGNO 2025

 

NIS 2: il nostro impegno per un futuro digitale sicuro

 

Il mondo digitale sta cambiando rapidamente, e con esso anche le sfide che le aziende devono affrontare. La Direttiva NIS2 (UE 2555/2022) non è solo una nuova normativa da rispettare: è il riflesso di una realtà in cui la cybersecurity è diventata fondamentale per la sopravvivenza stessa delle nostre attività.

 

Immaginate per un momento cosa succederebbe se domani mattina i vostri sistemi fossero compromessi. Si tratterebbe di un danno – economico ma non solo – enorme. Uno scenario simile non è affatto fantascienza: è una possibilità concreta che questa direttiva ci aiuta ad affrontare, stabilendo standard comuni di sicurezza in tutta l'Unione Europea.

Non essere preparati e compliant ha delle conseguenze? Certamente: sanzioni che possono raggiungere i 10 milioni di euro o il 2% del fatturato annuo per le violazioni più gravi.

Quando la compliance incontra l'opportunità

La NIS2 è già realtà in Italia grazie al decreto legislativo 138/2024, con l'Agenzia per la cybersicurezza nazionale (ACN) a guidarne l'implementazione. Qui sta il punto: mentre molti vedono solo obblighi e scadenze, in Var Group vediamo nella NIS2 un'opportunità straordinaria per contribuire a costruire aziende più forti e resilienti.

Le date che contano davvero:

 

1 gennaio 2026: scatta l'obbligo di notifica degli incidenti significativi all'ACN. Rientrano in tale previsione tutti gli incidenti che hanno o possono causare gravi perturbazioni operative dei servizi o sno idonei a provocare altre perdite materiali o immateriali considerevoli.

Non si tratta di una semplice comunicazione, ma di un processo strutturato che richiede una prenotifica entro 24 ore, una notifica completa entro 72 ore, e una relazione finale entro un mese.

1 ottobre 2026: deadline per l'implementazione delle misure di sicurezza informatica. Non si tratterà solo di installare qualche software in più, ma di ripensare completamente l'approccio alla sicurezza. Per queste nuove misure di sicurezza si dovrà seguire un principio di proporzionalità, tenendo conto dello stato dell’arte, dei costi d’attuazione e del grado di esposizione ai rischi (probabilità, gravità e dimensioni del soggetto).

Le misure sono basate su un approccio multi-rischio e comprendono:

• Politiche di analisi e gestione dei rischi e di sicurezza;
• Gestione degli incidenti;
• Continuità operativa;
• Sicurezza della catena di approvvigionamento;
• Sicurezza dell'acquisizione, sviluppo e manutenzione dei sistemi;
• Audit e revisioni per valutare l’efficacia delle misure di gestione dei rischi;
• Pratiche di igiene di base e formazione in materia di sicurezza informatica;
• Politiche e Procedure relative all'uso della crittografia e cifratura;
• Sicurezza e Affidabilità del personale;
• Uso di soluzioni di autenticazione a più fattori o di autenticazione continua.

Queste 10 misure definite dall’Unione Europea sono riconducibili a 6 macro categorie:

 

 

 

Chi deve davvero preoccuparsi ?

La nuova normativa ha ampliato significativamente il perimetro rispetto alla precedente NIS del 2016. Il meccanismo di identificazione basato sulla dimensione (size-cap rule) distingue tra soggetti "essenziali" e "importanti", coinvolgendo settori che vanno dall'energia alla sanità, dai trasporti alle telecomunicazioni.

Ma ecco la cosa interessante: anche chi non rientra direttamente nell'ambito della direttiva può trarre enormi vantaggi dall'adozione di questi standard. Perché? Perché la sicurezza non è mai un costo, è sempre un investimento.

 

Da obbligo ad opportunità! Ovvero: la sicurezza come vantaggio competitivo

Invece di vedere la NIS2 come un peso, in Var Group abbiamo scelto di considerarla un acceleratore. Ogni misura richiesta – dalla gestione del rischio alla continuità operativa, dalla sicurezza della supply chain alla formazione del personale – contribuisce a costruire un'azienda più solida e affidabile.

Le dieci misure fondamentali che l'UE ha definito non sono solo caselle da spuntare, ma pilastri su cui costruire un rapporto di fiducia con i nostri clienti e assicurargli competitività sul mercato. Quando si decide di implementare correttamente la crittografia, l'autenticazione multi-fattore, o l'analisi dei rischi, non si sta rispettando solo una norma: si sta creando un ambiente in cui clienti e prospect si sentono sicure a fare business con l’azienda.

Il nostro approccio: sicurezza che ha senso

In Var Group abbiamo trasformato la compliance in una filosofia di lavoro. Non si tratta di aggiungere strati di complessità ai progetti, ma di integrare la sicurezza in modo naturale e intelligente in ogni fase del processo.

Ecco cosa stiamo facendo concretamente per garantire la massima qualità e sicurezza nelle nostre soluzioni software:

 

1. Secure Software Development Lifecycle (SSDLC) 

Integriamo la sicurezza dalle prime fasi di progettazione riducendo rischi e costi derivanti da eventuali falle di sicurezza, monitorando inoltre la conformità alle normative.

2. Formazione Continua degli sviluppatori

Oltre alla preparazione tecnica e all’uso di tecnologie all’avanguardia, il nostro team segue programmi obbligatori di aggiornamento normativo, inclusi corsi su GDPR, NIS e altre normative. È così in grado di comprendere e soddisfare le tue esigenze sia dal punto di vista tecnico che normativo.

3. Protezione della supply chain software

• approccio DevSecOps
• Utilizzo di tecnologie allo stato dell’arte, la scelta degli strumenti adatti gioca un ruolo cruciale nella sicurezza del progetto
• Protezione del ciclo di sviluppo tramite metodi standardizzati (come ad es. scansioni commit e regole di branch)
• Gestione delle dipendenze e SBOM (SW Bill of Materials)
• Tracciamo tutti i componenti esterni (librerie, moduli, plugin) utilizzati e nel caso diventino rischiose od obsolete interveniamo sostituendola

Quando iniziamo un progetto, la sicurezza non è un'aggiunta dell'ultimo minuto. È parte integrante del DNA del software che sviluppiamo. Utilizziamo metodologie come il Design Thinking per comprendere non solo cosa si vuole costruire, ma anche come proteggerlo efficacemente. Identifichiamo i rischi e le vulnerabilità del progetto per costruire un piano di trattamento dei rischi ed eventuali incident response plan, business continuity plan e disaster recovery plan, col supporto del team security Var Group.

Il nostro approccio alle architetture ridondanti e ad alta disponibilità non nasce dalla paura del fallimento, ma dalla consapevolezza che la continuità operativa è un valore per gli utenti. Ogni analisi dei rischi che conduciamo è un'opportunità per rendere il business dei clienti più solido.

Sviluppiamo, ma con la sicurezza sempre in mente

Il nostro team non segue semplicemente le linee guida OWASP come una checklist. Le vive come principi guida che trasformano ogni riga di codice in un mattone della sicurezza digitale di ogni soluzione. Quando implementiamo la validazione degli input o gestiamo le dipendenze, stiamo costruendo le fondamenta di un software che difficilmente deluderà le aspettative.

Ma la vera forza sta nei dettagli che fanno la differenza. Ogni account che creiamo è protetto da autenticazione multi-fattore e password robuste, perché sappiamo che la sicurezza inizia dall'identità. Utilizziamo tecniche di crittografia all'avanguardia non perché ce lo impone la norma, ma perché i dati aziendali meritano la protezione più avanzata disponibile.

Integriamo sistemi di logging e tracciabilità fin dalle prime fasi di sviluppo, creando una cronologia dettagliata di ogni evento. Questo non solo permette di rispondere rapidamente a eventuali anomalie, ma offre anche la visibilità necessaria per migliorare continuamente le performance e la sicurezza dei sistemi.

Le utenze che realizziamo sono robuste e verificate attraverso servizi enterprise come AWS Cognito, utilizzando token sicuri e sistemi di controllo accessi granulari. Non è solo una questione tecnica: è la garanzia che solo le persone giuste accedano alle risorse giuste nel momento giusto.

La nostra pipeline CI/CD non è solo un processo tecnico: è una rete di sicurezza che cattura i problemi prima che diventino vulnerabilità, con monitoraggio integrato che tiene sotto controllo ogni aspetto del sistema fin dal primo deploy. Ogni release è un passo avanti verso maggiore affidabilità e sicurezza.

Testiamo come se la sicurezza dipendesse da questo

Perché in effetti è così. Ogni singola riga di codice che produciamo viene testata e verificata in ogni fase di avanzamento, monitorando costantemente i vincoli di sicurezza definiti in fase di analisi fino alla validazione finale. Non è solo un processo: è una filosofia che permea ogni momento dello sviluppo.

I nostri test di penetrazione e le code review non sono rituali burocratici, ma momenti cruciali in cui mettiamo alla prova la resistenza di ciò che abbiamo costruito. Collaboriamo strettamente con il team di digital security Var Group e, quando necessario, con le società di sicurezza scelte direttamente dai nostri clienti. È qui che la teoria incontra la pratica, e dove ogni vulnerabilità scoperta diventa un'opportunità per irrobustire il sistema.

Il final security review rappresenta il momento della verità: un'analisi approfondita che certifica la robustezza di ogni componente prima del rilascio. Utilizziamo strumenti di monitoring avanzato che ci permettono di avere una visibilità completa su ogni aspetto del sistema, mentre i nostri audit periodici verificano costantemente l'efficacia delle misure implementate. Non si tratta solo di controlli tecnici, ma di una valutazione olistica che considera ogni possibile vettore di attacco.

Proteggiamo anche dopo il rilascio

Il nostro impegno non finisce con il go-live. Continuiamo a monitorare, aggiornare e migliorare, perché sappiamo che la sicurezza è un processo dinamico che richiede vigilanza costante. Monitoriamo proattivamente tutte le criticità individuate in fase di analisi, intervenendo prima che una vulnerabilità possa trasformarsi in un incidente reale.

La nostra strategia post-rilascio combina scansioni automatizzate con analisi manuali approfondite, creando un sistema di protezione a più livelli. Implementiamo soluzioni avanzate di Data Loss Prevention per proteggere i dati aziendali più preziosi da perdite, divulgazioni o furti, mentre i nostri patching update garantiscono che ogni bug o vulnerabilità venga risolto con la massima rapidità.

I vulnerability assessment periodici non sono controlli di routine, ma investimenti continui nella longevità e affidabilità dei sistemi dei nostri clienti. Li affianchiamo con backup periodici e verificati, assicurando che i dati aziendali siano sempre al sicuro e recuperabili.

Ma la vera innovazione sta nella resilienza che costruiamo: attraverso il caching sul client e il supporto offline PWA, i software aziendali rimangono operativi anche quando la connessione internet viene meno. I nostri test di resilienza monitorano costantemente lo stato della rete, garantendo che le attività business non si fermino mai.

Manteniamo attivi e aggiornati tutti i sistemi perimetrali - firewall, Web Application Firewall (WAF), e altre barriere difensive - perché ogni layer di protezione è un'ulteriore garanzia per la continuità operativa aziendale. I registri di log sono costantemente monitorati e analizzati, trasformando ogni evento in un'informazione utile per rafforzare ulteriormente la sicurezza.

Questa vigilanza continua permette di identificare e neutralizzare potenziali minacce prima che possano impattare sulle operazioni aziendali, garantendo quella tranquillità che consente alle aziende di concentrarsi su ciò che sanno fare meglio: far crescere il proprio business.

Oltre la compliance: costruire il futuro

La NIS2 ci offre una mappa per navigare in un panorama digitale sempre più complesso. Ma noi non ci limitiamo a seguire la mappa: la usiamo per esplorare territori inesplorati, per trovare soluzioni innovative che non solo rispettano le normative, ma superano le aspettative.

Quando lavoriamo con le aziende, non stiamo semplicemente rendendo i loro sistemi conformi alla NIS2. Stiamo costruendo insieme un'infrastruttura digitale che sarà pronta per le sfide di domani, qualunque esse siano.

Il momento giusto è adesso

 

AUTORI

Elena Michelotto - Data & Low Development e Stefano Dindo - Head of Software Development