Con l’entrata in vigore della Direttiva NIS2 (Direttiva UE 2022/2555), migliaia di organizzazioni europee – pubbliche e private – si trovano ad affrontare nuovi requisiti legali in materia di gestione del rischio informatico e risposta agli incidenti.
Per molte imprese, in particolare quelle di medie dimensioni, il problema non è soltanto normativo ma operativo: quali competenze servono e come strutturare i team di sicurezza per essere conformi?
Per rispondere a questa sfida, l’ENISA (Agenzia dell’Unione Europea per la cybersicurezza) ha pubblicato nel giugno 2025 la guida Mapping NIS2 obligations to ECSF, che collega gli obblighi della direttiva ai profili professionali descritti nell’European Cybersecurity Skills Framework (ECSF).
Dal requisito legale all’azione concreta
La NIS2 richiede agli enti essenziali e importanti di:
- applicare misure di gestione del rischio (art. 21), come politiche di sicurezza, continuità operativa, sicurezza della supply chain, crittografia e controlli di accesso;
- rispettare obblighi stringenti di notifica degli incidenti (art. 23), con tempistiche precise: entro 24 ore un “early warning”, entro 72 ore una relazione dettagliata, e un rapporto finale entro un mese.
La guida ENISA dimostra come questi obblighi possano essere tradotti in compiti e responsabilità legati a specifici ruoli ECSF, rendendo più chiaro quali figure professionali siano indispensabili per garantire la conformità.
I ruoli chiave secondo l’ECSF
Il documento evidenzia dodici profili, tra cui:
- Chief Information Security Officer (CISO): responsabile della strategia di sicurezza, dei piani di continuità e della supervisione della conformità.
- Cyber Incident Responder: gestisce la risposta agli incidenti e coordina le comunicazioni con le autorità competenti.
- Cyber Legal, Policy and Compliance Officer: assicura l’allineamento con NIS2, GDPR e altri obblighi normativi.
- Cybersecurity Architect: progetta soluzioni sicure by design e integra misure come MFA e comunicazioni protette.
- Penetration Tester e Digital Forensics Investigator: valutano l’efficacia delle difese e forniscono prove digitali a supporto delle indagini.
L’approccio permette alle organizzazioni di decidere quando assumere, riqualificare, formare o esternalizzare determinati compiti.
Due scenari pratici
La guida presenta casi d’uso concreti per una media impresa con risorse limitate:
- Implementazione delle misure di sicurezza (art. 21): nomina di un CISO, upskilling del personale IT e legale, outsourcing di threat intelligence e penetration test.
- Gestione post-incidente e reporting (art. 23): costituzione di un team misto interno-esterno per rispettare le tempistiche di notifica e migliorare la prontezza tramite esercitazioni.
I vantaggi della mappatura NIS2–ECSF
ENISA evidenzia diversi benefici:
- Maggiore accountability per il top management.
- Strutture organizzative più efficienti e trasparenti.
- Ruoli chiari e non ambigui per il personale di sicurezza.
- Migliore capacità di risposta agli incidenti e reporting conforme.
- Supporto alla pianificazione strategica della forza lavoro, sia per le singole organizzazioni che per gli Stati Membri.
Conclusione
Il documento ENISA rappresenta un ponte tra la normativa e la pratica: aiuta le imprese a trasformare gli obblighi legali in processi operativi e a costruire team con le competenze necessarie.
In un contesto di minacce informatiche sempre più complesse, il successo dell’attuazione della NIS2 dipenderà dalla capacità delle organizzazioni di investire nelle giuste competenze e dalla collaborazione tra pubblico e privato per sviluppare una forza lavoro di cybersecurity solida e resiliente.