NIS2 mette le PMI con le spalle al muro: senza supporto ai più deboli la filiera resta vulnerabile

Il cyberattacco a Collins Aerospace, fornitore di servizi aeroportuali per check-in e imbarco, ha causato gravi disagi al traffico aereo europeo. I criminal hacker hanno colpito il colosso multinazionale compromettendo una società più piccola della sua filiera. È la conferma che, in un cyberspazio fluido e interconnesso, la vulnerabilità di un solo anello può compromettere l’intero sistema. Soprattutto in Italia, dove le PMI sono l’ossatura delle filiere ma restano anche l’anello più esposto.

Il legislatore europeo, consapevole dei rischi insiti nelle supply chain, ha normato con la direttiva NIS2 gli obblighi e le responsabilità delle aziende strategiche, ma anche indirettamente dei loro fornitori, ampliando così in maniera significativa il perimetro della cybersecurity con l’obiettivo dichiarato di costruire un quadro comune di misure capace di garantire resilienza all’intera filiera e, in prospettiva, al sistema Paese.
Un traguardo ambizioso per un mercato della cybersecurity che in Italia, nel 2024, ha raggiunto un valore di 2,48 miliardi di euro, con una crescita del 15% rispetto all’anno precedente, ma che non tiene conto di uno dei caratteri originali dell’economia italiana: gran parte delle catene del valore nel nostro Paese è infatti costituita da piccole e medie imprese. Realtà centrali per il PIL e per la competitività del Paese – che contribuiscono per il 63% al valore aggiunto e per il 76% all’occupazione in Italia – ma spesso prive delle risorse umane e finanziarie e della governance necessarie a sostenere requisiti così stringenti. I fornitori delle aziende identificate come strategiche dalla NIS2 si trovano infatti a dover dimostrare di saper gestire i rischi lungo la supply chain, adottare misure minime di sicurezza, accettare audit e verifiche, predisporre procedure di notifica degli incidenti e garantire trasparenza nell’uso dei subfornitori.

Una serie di clausole contrattuali vincolanti e responsabilità legali che si aggiungono a questi obblighi spingono le grandi aziende a trasferire la pressione a valle della filiera, imponendo ai propri partner degli standard spesso difficili e complessi da comprendere soprattutto per le PMI.

Perché?

Tradurre questi requisiti in azioni concrete per una piccola o media impresa è spesso proibitivo. Budget limitati, competenze disponibili scarse e costose, offerta di servizi frammentata e spesso poco qualificata, bassa consapevolezza del management e costi di adeguamento che rischiano di riflettersi direttamente sui prezzi dei prodotti e dei servizi sono tutti ostacoli gravosi sul percorso che deve portare – secondo il legislatore europeo – alla sicurezza complessiva delle filiere.

In questo scenario molte piccole imprese, nel timore di perdere commesse vitali, finiscono per produrre solo carta – moli di documenti e dichiarazioni prive di reali conseguenze – se non addirittura per occultare criticità destinate così a rimanere sconosciute nella catena di fornitura, provocando falle spesso fatali: il 73% delle grandi imprese ha infatti subito almeno un attacco nel 2024, e molti di questi incidenti hanno avuto origine proprio nella supply chain.

Il risultato è paradossale. Una direttiva nata per aumentare la resilienza può, se applicata rigidamente, produrre l’effetto opposto: indebolire la catena, alimentando vulnerabilità nascoste e riducendo la fiducia reciproca.

Per superare questo rischio occorre in Italia un approccio diverso al tema, che tenga conto delle peculiarità del nostro sistema produttivo. La resilienza non si costruisce isolando i più fragili, ma rafforzandoli. Le aziende strategiche nell’adempiere agli obblighi della NIS 2 devono passare dall’essere meri controllori della sicurezza della filiera a divenire attrici di un processo che assicuri maggiore sicurezza digitale lungo tutta la catena, condividendo competenze, mettendo a disposizione strumenti di base, sviluppando servizi comuni come centri di monitoraggio o piattaforme di threat intelligence. Ogni relazione contrattuale deve passare dal negativo al positivo, superando la logica “punitiva” per divenire invece leva capace di generare collaborazione e crescita.

La cybersecurity, in quest’ottica, diventa collante di aggregazione: non un costo imposto dall’alto, bensì un elemento capace di creare valore insieme, rafforzando la fiducia reciproca e trasformando la sicurezza in un asset competitivo per tutta la filiera.

Se le imprese strategiche sapranno compiere questo salto, coinvolgendo i propri fornitori come veri partner di resilienza, l’impatto sarà sistemico, generando una filiera più sicura, capace di prevenire e gestire gli incidenti con maggiore maturità; un tessuto produttivo più competitivo, in grado di reggere alle sfide globali senza dover sacrificare margini e innovazione; un PIL al riparo dalle minacce cibernetiche che mirano a destabilizzare l’economia nazionale; una democrazia economica europea più solida, fondata su un ecosistema industriale meno vulnerabile e più coeso.

Il vero banco di prova della NIS2, in Italia, non sarà quindi la mera capacità delle grandi aziende di adeguarsi alle prescrizioni normative, ma la loro volontà di trasformare le PMI da anelli deboli a pilastri di sicurezza condivisa. In questa prospettiva la cybersecurity non è solo difesa, ma diventa un fattore di coesione e di valore comune, capace di unire imprese grandi e piccole in una logica di competitività e protezione del sistema Paese.

L’articolo NIS2 mette le PMI con le spalle al muro: senza supporto ai più deboli la filiera resta vulnerabile proviene da Difesa Online.

Il cyberattacco a Collins Aerospace, fornitore di servizi aeroportuali per check-in e imbarco, ha causato gravi disagi al traffico aereo europeo. I criminal hacker hanno colpito il colosso multinazionale compromettendo una società più piccola della sua filiera. È la conferma…

L’articolo NIS2 mette le PMI con le spalle al muro: senza supporto ai più deboli la filiera resta vulnerabile proviene da Difesa Online.