Oltre la NIS2: pronti al cambiamento della Direzione IT?

Benvenuto ai partecipanti, presentazione della struttura dell’evento e degli speaker. Inquadramento della giornata: perché la NIS2 è un tema che riguarda direttamente i CIO e le operations IT, non solo la compliance.  

La NIS2 parte da un principio chiaro: la responsabilità della cybersecurity non è delegabile. Gli organi di gestione approvano le misure, ne supervisionano l'attuazione e rispondono personalmente — con sanzioni fino a 10 milioni di euro o 2% del fatturato e possibile interdizione dalle funzioni dirigenziali. I tempi sono stretti: da aprile 2025 scattano gli obblighi di notifica incidenti, entro ottobre 2026 le misure devono essere pienamente operative. Ci sono due aspetti chiari nei requisiti. Il primo aspetto è Security, con risk management, incident response e supply chain. Il secondo aspetto è IT Operations, con business continuity, asset management e change management. Security e IT Operations non si separano. Il legame tra CISO e CIO è il filo che tiene insieme le prossime sessioni.

Messaggi chiave:

• Responsabilità personale del management: la cybersecurity entra nell'agenda del Board
• Scadenze ravvicinate: chi non ha avviato un assessment è già in ritardo
• Natura duale Security + IT Operations: senza integrazione, la compliance resta formale

Sessione operativa che entra nel vivo degli impatti concreti della NIS2 sull'IT. La direttiva non si limita a richiedere policy e documentazione: interviene direttamente sui processi operativi, dalla gestione degli asset alla continuità operativa, dall'incident management alla gestione delle vulnerabilità, dal change management all'identity & access management. L'obiettivo è mostrare come i requisiti normativi si traducono in azioni concrete sui processi che i team IT gestiscono ogni giorno — e dove si concentrano i gap più frequenti.

Messaggi chiave:

• La NIS2 impatta trasversalmente i processi IT, non solo quelli di sicurezza
• Senza una governance strutturata dei processi operativi, la compliance resta sulla carta
• I gap più critici emergono dove sicurezza e operations non si parlano
• La gestione reale dei processi richiede automazione

Focus sulla gestione del rischio terze parti, uno dei pilastri della NIS2 e tra le aree di maggiore esposizione. Come strutturare un programma TPRM efficace, dalla due diligence al monitoraggio continuo.

Messaggi chiave:

• La NIS2 richiede controllo e responsabilità estesa sulla catena di fornitura
• Non basta un questionario annuale: serve un approccio risk-based e continuo
• Il TPRM è il punto di convergenza tra IT governance, procurement e security

Dialogo guidato con un CIO/IT Manager che ha avviato il percorso di adeguamento NIS2. Formato Q&A: sfide incontrate, impatti organizzativi, lezioni apprese e benefici tangibili sui processi IT e sulla gestione fornitori.

Messaggi chiave:

• Dare voce all’esperienza reale: cosa significa concretamente affrontare la NIS2
• Evidenziare il valore dell’approccio strutturato rispetto all’improvvisazione
• Mostrare i benefici collaterali: efficienza, visibilità, governance migliorata

Non una demo commerciale, ma una sessione pratica che mostra come uno strumento di automazione supporta concretamente l’implementazione dei requisiti NIS2 discussi nelle sessioni precedenti. Dalla gestione degli asset al workflow di incident notification, dalla tracciabilità del change alla gestione fornitori.

Messaggi chiave:

• La conformità NIS2 non è raggiungibile senza automazione
• Lo strumento al servizio del processo, non il contrario
• Collegamento diretto tra i requisiti normativi e le funzionalità della piattaforma