L’introduzione della direttiva NIS2 nel panorama legislativo europeo ha segnato un punto di svolta per la gestione della sicurezza informatica, trasformando un tema tecnico in una questione di governance centrale per le grandi organizzazioni. In Italia, il recepimento della norma è stato accompagnato da un’analisi approfondita condotta dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, presentata il 26 febbraio 2026 durante il convegno Cybersecurity: immaginare l’imprevedibile”. I dati raccolti indicano che la normativa non viene più percepita esclusivamente come un onere burocratico, ma come un volano per elevare la protezione delle infrastrutture critiche e dei servizi digitali. Attraverso il confronto tra ricercatori e responsabili della sicurezza di grandi realtà industriali, emerge un quadro complesso fatto di scadenze rigorose, responsabilità legali dirette per i vertici aziendali e la necessità di una visione multidisciplinare che unisca diritto e tecnologia.
Indice degli argomenti
Lo stato dell’arte della NIS2 in Italia e in Europa
Il percorso di adeguamento normativo vede l’Unione Europea impegnata in uno sforzo di uniformità che, tuttavia, procede a velocità diverse tra i vari Stati membri. Secondo le rilevazioni di Giorgia Dragoni, Ricercatrice Senior dell’Osservatorio Cybersecurity & Data Protection, sebbene la NIS2 miri a una coerenza comunitaria, permangono differenze significative nell’implementazione nazionale. Attualmente, sono 19 su 27 gli Stati membri che hanno reso la direttiva una legge nazionale, ma l’effettiva entrata in vigore e l’avanzamento dei decreti attuativi variano sensibilmente.
In questo scenario, l’Italia si posiziona in maniera virtuosa, avendo rispettato la scadenza di recepimento di ottobre 2024. Il cronoprogramma italiano è già serrato: dopo la fase di autoregistrazione al portale dell’Agenzia per la Cybersicurezza Nazionale (ACN), le imprese hanno affrontato il primo vero obbligo legato alla notifica degli incidenti. Le prossime tappe prevedono per aprile la pubblicazione degli obblighi a lungo termine, culminando a ottobre con l’implementazione delle misure di base.
I numeri dell’Osservatorio confermano una risposta reattiva da parte del mercato interno. Giorgia Dragoni evidenzia che “le aziende italiane hanno compreso l’opportunità offerta dalla normativa”, con il 27% delle grandi organizzazioni che dichiara di essere già sostanzialmente adeguata alle misure previste finora. La stragrande maggioranza, circa il 70%, ha avviato il processo di adeguamento, segno che la consapevolezza del rischio digitale ha ormai permeato le strutture aziendali.
La ridefinizione del perimetro soggettivo e il Digital Omnibus
Uno degli aspetti più delicati dell’applicazione della NIS2 riguarda l’identificazione dei soggetti che ricadono sotto la sua giurisdizione. Anna Cataleta, Senior Legal Advisor di Partner4Innovation, sottolinea come la determinazione del perimetro soggettivo non sia un’operazione automatica, ma richieda un’analisi ermeneutica profonda. Secondo Cataleta, “dire se un soggetto è ‘essenziale’ o ‘importante’, o se rientra o meno, non dipende da un codice, dipende da una serie di fattori che implicano la conoscenza di una serie di norme”.
In questo contesto, il Digital Omnibus interviene per apportare elementi di semplificazione e razionalizzazione. Una delle modifiche più rilevanti riguarda la gestione delle notifiche degli incidenti. Anna Cataleta spiega che la nuova disposizione prevederà un unico punto di notifica gestito da ENISA, che avrà il compito di veicolare le informazioni alle autorità indipendenti, evitando così che le aziende debbano “duplicare o triplicare tutti questi adempimenti”. Inoltre, la normativa sposta il focus della valutazione degli incidenti, concentrandosi sulla gravità del data breach piuttosto che sulla probabilità, modificando radicalmente l’approccio preventivo delle imprese.
Governance e responsabilità: il Board al centro della sicurezza
L’impatto più profondo della NIS2 si avverte ai piani alti delle organizzazioni. La normativa non si limita a richiedere aggiornamenti tecnologici, ma impone una responsabilità diretta e personale agli amministratori delegati e ai rappresentanti legali. Elisa Romano, Head of Data Protection & Information Security di Lamborghini, osserva che la norma ha forzato una consapevolezza che avrebbe dovuto essere già presente, portando il tema della cybersecurity fuori dai reparti tecnici.
L’Articolo 23 della direttiva coinvolge gli organi apicali nella governance del sistema informativo, nella gestione degli incidenti e, soprattutto, nella formazione obbligatoria. Romano afferma che, rendendo la responsabilità personale e obbligatoria, “si alza il tiro e si portano i CISO ‘dallo scantinato’ ai piani alti”. Questo cambiamento è supportato dai dati: il 57% delle grandi imprese riconosce un aumento dell’attenzione del board ai temi cyber proprio grazie all’impulso della normativa.
Tuttavia, il coinvolgimento dei vertici richiede un nuovo linguaggio comunicativo. Elisa Romano suggerisce che per essere efficaci non si debba parlare di tecnicismi, ma di rischi, conseguenze e budget. È necessario fornire all’organo decisorio una fotografia completa e prioritizzata della situazione, permettendo loro di valutare le alternative con elementi concreti. Il CISO diventa così una figura di mediazione che deve garantire trasparenza e un canale di comunicazione continuo con il management.
Il peso della burocrazia e della documentazione tecnica
Nonostante i benefici strategici, l’adeguamento operativo alla NIS2 comporta un carico amministrativo imponente. Luigi Tuissi, Head of IT Italy di Alpiq Energia Italia, descrive la fase documentale come un’attività estremamente onerosa, definendola senza mezzi termini “un bagno di sangue”. La complessità deriva dalla necessità di produrre e far approvare dai vari Consigli di Amministrazione una mole documentale che può oscillare tra i 20 e i 30 atti tecnici, che spaziano dalle policy sulle password alla gestione delle vulnerabilità.
Per le aziende strutturate con molteplici legal entity, questo sforzo si moltiplica, costringendo i responsabili IT a una fatica esagerata per spiegare concetti tecnici a organi collegiali che si occupano di business. Tuttavia, Tuissi evidenzia come questa burocrazia trovi la sua giustificazione nella gestione delle crisi reali: l’esperienza dimostra che la mancanza di procedure approvate e pubblicate rappresenta un gap critico durante un attacco informatico.
La sfida dell’Operation Technology e della Supply Chain
Un’ulteriore frontiera della NIS2 è rappresentata dalla protezione del mondo Operation Technology (OT), ovvero i sistemi che controllano la produzione fisica. Se il mondo IT ha una maturità decennale sulla sicurezza, l’OT è spesso un territorio nuovo in termini di difesa cyber. Luigi Tuissi spiega che in ambito produttivo, il primo passo fondamentale è la creazione di un asset inventory, ovvero mappare tutto ciò che è presente in azienda, un’operazione che rappresenta già di per sé un risultato finale della conformità normativa.
Accanto alla sicurezza interna, emerge con forza il tema della Supply Chain. I dati e l’esperienza sul campo indicano che la maggior parte dei rischi cyber oggi deriva da violazioni subite da terze parti. La gestione dei fornitori diventa quindi un pilastro della NIS2, richiedendo non solo controlli tecnologici ma anche un adeguamento dei contratti. Tuissi sottolinea come sia raro trovare accordi che prevedano esplicitamente l’obbligo di informare il cliente in caso di incidente informatico, rendendo questa parte della catena del valore particolarmente debole.
L’adeguamento alla NIS2 sta spingendo le imprese verso una gestione integrata della sicurezza. Il 45% delle organizzazioni dichiara di aver già migliorato la propria postura di sicurezza grazie agli interventi legati alla direttiva. Nonostante l’aumento dei costi di gestione, segnalato dal 41% delle imprese, la tendenza è quella di superare la frammentazione normativa verso un approccio metodologico chiaro e scalabile, capace di proteggere l’intero ecosistema digitale italiano.
FAQ: innovazione
Quali sono i diversi tipi di innovazione che un’azienda può implementare?
Un’azienda può implementare diversi tipi di innovazione, ciascuno con caratteristiche e impatti specifici:
1. Innovazione di prodotto: miglioramento o radicale cambiamento dei beni offerti.
2. Innovazione di processo: intervento migliorativo o di radicale mutamento riguardante il sistema, i macchinari o l’organizzazione della produzione.
3. Innovazione organizzativa: rinnova le pratiche di gestione e la cultura aziendale per favorire creatività, collaborazione e agilità.
4. Innovazione tecnologica: integrazione di nuove tecnologie come l’intelligenza artificiale, l’automazione o la realtà aumentata.
5. Innovazione sociale: creazione di iniziative che rispondono a esigenze sociali o ambientali contribuendo al successo aziendale.
6. Innovazione di marketing: include le aree vendita, advertising e comunicazione.
Secondo il modello dei “4P dell’innovazione” proposto da John Bessant e Joe Tidd, esistono quattro principali tipologie: innovazione di prodotto, di processo, di posizione e di paradigma. Clayton Christensen distingue invece tra innovazione incrementale, radicale e dirompente.
Qual è la differenza tra innovazione incrementale e innovazione disruptive?
L’innovazione incrementale si distingue dall’innovazione radicale (disruption) in quanto punta a incrementare l’innovatività di qualcosa che già esiste, apportando miglioramenti graduali e continui a prodotti o processi esistenti. Si tratta di perfezionamenti che non alterano la natura fondamentale dell’offerta.
L’innovazione disruptive (o dirompente), concetto coniato da Clayton Christensen, si riferisce invece a innovazioni che creano un nuovo mercato e rete di valore, eventualmente spiazzando imprese, prodotti e alleanze affermate. Un prodotto veramente innovativo dovrebbe essere “disruptive”, ovvero capace di creare un nuovo mercato, come è stato l’iPhone di Apple che ha ridefinito il concetto di telefono cellulare.
Secondo uno studio di McKinsey, mentre le innovazioni incrementali rappresentano la maggior parte delle attività innovative delle aziende (circa il 70%), sono le innovazioni radicali e dirompenti a generare la maggior parte del valore a lungo termine (fino all’80% del valore totale creato dall’innovazione).
Cos’è l’open innovation e come può essere implementata nelle aziende?
L’open innovation è un approccio strategico e culturale in base al quale le aziende, per creare più valore e competere meglio sul mercato, scelgono di ricorrere non più e non soltanto a idee e risorse interne, ma anche a idee, soluzioni, strumenti e competenze tecnologiche che arrivano dall’esterno, in particolare da startup, università, istituti di ricerca, fornitori, inventori, programmatori e consulenti.
Secondo Henry Chesbrough, che ha coniato il termine nel 2003, l’Open Innovation è “un modello di innovazione distribuita che coinvolge afflussi e deflussi di conoscenza gestiti in modo mirato tra i confini dell’organizzazione fino a generare anche ‘spillover'”.
Le modalità concrete di implementazione includono:
1. Call for ideas: concorsi per raccogliere idee innovative da startup, PMI o singoli individui
2. Hackathon: gare di programmazione per sviluppare soluzioni digitali innovative
3. Incubatori o acceleratori di startup gestiti dall’azienda
4. Accordi con partner esterni: collaborazioni con altre aziende, startup, università o centri di ricerca
5. Acquisizioni di startup o PMI innovative
Secondo le ricerche dell’Osservatorio Startup Thinking, nel 2024 l’88% delle grandi aziende italiane implementa l’open innovation, che è diventata centrale come strumento per l’innovazione e la trasformazione aziendale.
Quali vantaggi competitivi offre l’innovazione di prodotto alle aziende?
L’innovazione di prodotto offre numerosi vantaggi competitivi alle aziende:
1. Crescita accelerata: secondo uno studio di McKinsey, le aziende che eccellono nell’innovazione di prodotto crescono fino a cinque volte più velocemente rispetto ai loro concorrenti.
2. Differenziazione dalla concorrenza: in un mercato sempre più saturo e competitivo, le aziende che innovano costantemente i propri prodotti mantengono un vantaggio competitivo significativo.
3. Creazione di nuovi mercati: prodotti veramente innovativi possono creare nuovi bisogni o soddisfare esigenze latenti dei consumatori.
4. Miglioramento della customer experience: l’innovazione influenza positivamente il modo in cui i consumatori interagiscono con prodotti e servizi, migliorando funzionalità, prestazioni e semplificando i processi.
5. Personalizzazione: grazie a dati e intelligenza artificiale, le aziende possono offrire prodotti e servizi più personalizzati.
Secondo una ricerca di Nielsen, i prodotti veramente innovativi hanno una probabilità tre volte superiore di generare vendite significative rispetto ai prodotti incrementali.
Cosa si intende per innovazione sociale e quali sono alcuni esempi concreti?
L’innovazione sociale si riferisce a “nuove idee (prodotti, servizi e modelli) che soddisfano bisogni sociali (in modo più efficace delle alternative esistenti) e che allo stesso tempo creano nuove relazioni e nuove collaborazioni”, secondo la definizione dell’Open Book of Social Innovation della Young Foundation e Nesta.
In pratica, l’innovazione sociale risponde in modo nuovo a bisogni della società emergenti o già presenti, costruendo nuove relazioni tra pubblico, privato e terzo settore. È importante notare che non è necessariamente legata al concetto di profitto, ma piuttosto si configura come un ibrido, una combinazione tra profit e no profit dove contano sia la sostenibilità economica del progetto sia i suoi destinatari.
Esempi concreti di innovazione sociale includono:
1. Il microcredito ideato da Muhammad Yunus, che ha vinto il Premio Nobel per la Pace nel 2006.
2. Kibi, una piattaforma di apprendimento adattivo per DSA (disturbi specifici dell’apprendimento), basata su AI e gamification.
3. Neurabook, un’applicazione di intelligenza artificiale per supportare la comunicazione aumentativa di bambini autistici.
4. Empatica, che ha lanciato un dispositivo che supporta chi soffre di epilessia inviando immediatamente richieste di soccorso in caso di crisi convulsiva.
5. PC4U.tech, un’iniziativa nata da quattro ragazzi milanesi che durante la pandemia hanno donato pc e tablet ricondizionati a studenti che non ne disponevano.
Secondo il report 2024 del Social Innovation Monitor del Politecnico di Torino, le startup italiane che combinano impatto sociale e ambientale con un modello imprenditoriale sostenibile hanno raggiunto quota 640, in aumento del 9% rispetto all’anno precedente.
Quali sono le principali sfide nell’implementare l’innovazione continua nelle aziende?
Implementare un’innovazione continua nelle aziende presenta diverse sfide significative:
1. Superare l’innovazione episodica: Come osserva Rita McGrath, professoressa alla Columbia Business School, “in troppe organizzazioni l’innovazione è qualcosa di episodico”, con iniziative che appaiono e scompaiono in base ai cambiamenti di leadership o di contesto interno, senza creare competenze durature.
2. Creare strutture formali: L’innovazione dovrebbe essere trattata “con la stessa sistematicità dei processi di qualità o di progettazione”, con responsabilità chiare, budget, ritualità e procedure codificate.
3. Sviluppare una leadership orientata all’apprendimento: È necessario passare “dal bisogno di dimostrare di avere ragione a un approccio guidato dalla scoperta”, con leader disposti ad accogliere nuove evidenze e modificare i piani sulla base di ciò che viene appreso.
4. Superare barriere culturali: Molte aziende premiano ancora la prevedibilità e la stabilità dei risultati, mentre l’innovazione richiede una cultura che valorizzi l’apprendimento e accetti il rischio.
5. Ottenere credibilità presso i vertici aziendali: Secondo le ricerche degli Osservatori Startup Thinking e Digital Transformation Academy, l’Open Innovation e i nuovi modelli di innovazione devono ancora guadagnare completa credibilità presso i vertici aziendali italiani.
Per superare queste sfide, aziende come Brambles hanno istituito strutture formali con un direttore dell’innovazione, processi di governance con finanziamenti e procedure di screening e incubazione delle idee, mentre John Deere ha integrato l’innovazione nelle responsabilità di tutti gli executive.
Come l’intelligenza artificiale sta trasformando l’innovazione aziendale?
L’intelligenza artificiale sta trasformando profondamente l’innovazione aziendale in molteplici aspetti:
1. Adozione crescente: Secondo un rapporto di McKinsey del 2024, l’adozione dell’IA è aumentata significativamente, con il 50% delle aziende che ha implementato l’IA in due o più funzioni aziendali, rispetto a meno di un terzo nel 2023.
2. Mercato in espansione: Il mercato globale dell’IA è stato valutato a 196,63 miliardi di dollari nel 2024 e si prevede che crescerà a un tasso annuo composto (CAGR) del 28,46% tra il 2024 e il 2030.
3. Integrazione nei prodotti: Le aziende stanno incorporando l’IA in una vasta gamma di prodotti, dai dispositivi smart home ai veicoli autonomi, creando prodotti più intelligenti, adattivi e personalizzati.
4. Applicazioni sociali: L’IA viene utilizzata anche per l’innovazione sociale, come nel caso di Neurabook, un’applicazione di intelligenza artificiale per supportare la comunicazione aumentativa di bambini autistici.
5. Enhanced humans: Il Technology Foresight 2025 di NTT Data ha individuato come trend emergente gli “Enhanced humans”, che prevede una maggiore collaborazione tra persone e macchine per amplificare le capacità umane.
Nonostante l’entusiasmo, solo il 26% delle aziende ha sviluppato le capacità necessarie per superare le prove di concetto e generare valore tangibile dall’IA. Le imprese devono investire non solo nella tecnologia, ma anche nelle competenze e nella governance per sfruttarne appieno il potenziale.
Quali sono alcuni esempi di aziende che hanno implementato con successo strategie di innovazione?
Numerose aziende hanno implementato con successo strategie di innovazione, trasformando i loro settori e creando valore significativo:
1. Tesla ha rivoluzionato l’industria automobilistica con i suoi veicoli elettrici, ripensando completamente l’esperienza di guida e integrando tecnologie avanzate come l’autopilot e gli aggiornamenti software over-the-air.
2. Airbnb ha innovato il settore dell’ospitalità creando una piattaforma peer-to-peer per l’affitto di alloggi, trasformando il modo in cui le persone viaggiano e alloggiano.
3. Apple continua a essere un esempio di innovazione di prodotto di successo, con l’introduzione dell’Apple Watch nel 2015 che ha creato un nuovo mercato per gli smartwatch.
4. Enel ha ampiamente utilizzato il paradigma dell’open innovation per ripensare il proprio business, creando una divisione dedicata all’innovazione e alla sostenibilità e avviando centinaia di partnership con startup.
5. Prysmian è un esempio di innovazione aziendale grazie alla sua capacità di integrare nuove tecnologie e collaborare con startup, investendo oltre 100 milioni di euro annui in ricerca e sviluppo.
6. Ferrero ha realizzato l’innovazione di prodotto con la sua Nutella vegana nel 2024, sostituendo il latte con farina di ceci e sciroppo di riso.
7. TIM ha annunciato nel 2024 un investimento di circa 130 milioni di euro per far crescere TIM Enterprise nel Cloud e costruire un nuovo Data Center di ultima generazione.
Come si può misurare il successo dell’innovazione in un’azienda?
Misurare il successo dell’innovazione in un’azienda richiede un approccio multidimensionale che consideri diversi indicatori:
1. Crescita e performance finanziaria: Secondo uno studio di McKinsey, le aziende che eccellono nell’innovazione di prodotto crescono fino a cinque volte più velocemente rispetto ai concorrenti. Questo si traduce in indicatori come aumento del fatturato, quota di mercato e redditività attribuibili a nuovi prodotti o servizi.
2. Adozione da parte dei clienti: Una ricerca di Nielsen mostra che i prodotti veramente innovativi hanno una probabilità tre volte superiore di generare vendite significative rispetto ai prodotti incrementali. La velocità e l’ampiezza dell’adozione sono indicatori chiave del successo dell’innovazione.
3. Apprendimento organizzativo: Come sottolinea Rita McGrath, il cuore dell’innovazione aziendale continua è la capacità di apprendere in modo sistematico. Questo può essere misurato attraverso la velocità con cui l’organizzazione adatta le proprie strategie in base a nuove evidenze.
4. Efficacia delle collaborazioni esterne: Per le aziende che adottano l’open innovation, il numero e la qualità delle collaborazioni con startup, università e altri partner esterni possono essere indicatori significativi.
5. Governance dell’innovazione: La presenza di processi strutturati, con responsabilità chiare, budget dedicati e procedure codificate per la raccolta, selezione e incubazione delle idee innovative.
