Con l’entrata in vigore della Direttiva NIS2, le ispezioni in materia di cybersicurezza diventano uno strumento centrale di controllo, ma non hanno come unico obiettivo la sanzione.

Il loro scopo principale è verificare se le organizzazioni abbiano agito con diligenza, adottando misure adeguate e coerenti con i rischi.

L’approccio ispettivo varia in base alla tipologia di soggetto. Le entità essenziali possono essere sottoposte a controlli programmati e preventivi, mentre le entità importanti vengono verificate soprattutto a seguito di eventi specifici, come incidenti rilevanti o segnalazioni circostanziate.
Un attacco informatico, da solo, non equivale a una violazione della normativa. Durante le ispezioni viene valutato il comportamento dell’organizzazione, la qualità delle misure di sicurezza adottate e la capacità di risposta, inclusa la tempestività nella notifica degli incidenti al CSIRT (Computer Security Incident Response Team, l’organismo nazionale incaricato di ricevere e gestire le segnalazioni di incidenti cyber). Le responsabilità non ricadono automaticamente sui vertici aziendali, ma sono distribuite tra i diversi ruoli interni: governance, funzioni di sicurezza, referenti operativi e direzione. Ognuno risponde per le proprie competenze e per eventuali omissioni.

In questa fase di attuazione, la tracciabilità delle decisioni, la documentazione delle misure adottate e la collaborazione con le autorità rappresentano elementi chiave per dimostrare conformità. La NIS2, più che richiedere l’assenza di incidenti, punta a rafforzare una gestione strutturata e responsabile del rischio cyber.