La direttiva NIS2 avrebbe dovuto essere recepita e applicata entro ottobre 2024, ma la realtà del mercato europeo racconta una storia ben diversa. Secondo infatti il CyberSmart NIS2 Survey, condotto su 670 dirigenti aziendali tra Regno Unito e Unione Europea, soltanto il 16% delle organizzazioni soggette all’obbligo si considera pienamente conforme. Significa che circa otto aziende su dieci operano ancora al di sotto degli standard richiesti, con tutto ciò che questo comporta in termini di esposizione legale, reputazionale e operativa.

In realtà, le organizzazioni intervistate mostrano consapevolezza del problema. Il 95% dei rispondenti dichiara infatti che il proprio consiglio di amministrazione comprende almeno in parte le implicazioni legali e reputazionali della non conformità, mentre nel 60% dei casi la responsabilità è stata formalmente assegnata al board o alla C-suite. Il vero ostacolo è di natura pratica tra mancanza di budget (20%), assenza di indicazioni chiare sull’implementazione (16%) e insufficiente expertise interna (11%). In altre parole, le aziende non ignorano NIS2, ma faticano a tradurla in azioni concrete.

La pressione arriva dal mercato, non solo dai regolatori

Un elemento particolarmente significativo del report è la natura della domanda di conformità che si sta manifestando nel mercato. Il 42% delle organizzazioni dichiara di ricevere richieste di prova di conformità NIS2 dai propri partner commerciali, il 41% dagli investitori e il 36% da clienti attuali o potenziali. Questi dati ridimensionano la compliance da adempimento burocratico a componente attiva della fiducia commerciale, con la conseguenza che chi non riesce a dimostrare di rispettare i requisiti rischia concretamente di perdere contratti, partnership e accesso a capitali.

Parallelamente, tre quarti delle organizzazioni intervistate ritengono che la conformità offra un vantaggio competitivo reale, con oltre un quarto che la considera significativa. C’è quindi una disponibilità a investire che non trova ancora un’offerta adeguata sul mercato e questo squilibrio rappresenta il nucleo dell’opportunità per i managed service provider.

acn nis2

Crediti: Shutterstock

Da progetto una tantum a servizio continuativo

Il contesto normativo in cui si inserisce NIS2 non è quello di una regolamentazione isolata. Le aziende europee navigano simultaneamente tra NIS2, DORA, l’EU Cybersecurity Act e GDPR, un insieme di framework sovrapposti che il 42% dei rispondenti giudica già troppo complesso da gestire internamente. Il 35% segnala sovrapposizioni significative tra i diversi obblighi e il 27% ritiene che l’enfasi complessiva sui requisiti di compliance sia eccessiva rispetto alle risorse disponibili.

Questa complessità strutturale sta accelerando una trasformazione nel modo in cui le aziende si approcciano alla conformità, ormai considerata un processo continuo che richiede monitoraggio, aggiornamento e adattamento costanti. Per i managed service provider, questo cambiamento apre la porta a modelli di servizio ricorrenti e a lungo termine, molto più redditizi e strategicamente stabili rispetto agli ingaggi puntuali. Jamie Akhtar, CEO e co-fondatore di CyberSmart, sottolinea che gli MSP che sapranno costruire offerte di compliance-as-a-service, modulari e multi-framework, sono quelli meglio posizionati per capitalizzare questo cambiamento di paradigma.

La crescente ownership esecutiva della cybersecurity compliance ha implicazioni dirette anche per le dinamiche commerciali del canale. Quando la responsabilità è assegnata al CEO o al board, il discorso sui servizi di compliance esce dal perimetro tecnico dell’IT e diventa una conversazione strategice sul rischio aziendale. Questo cambia il profilo degli interlocutori, alza il livello delle discussioni e, con ogni probabilità, aumenta i budget disponibili per soluzioni strutturate e continuative.

Per gli MSP, significa poter costruire engagement di maggiore valore, reportistica orientata al board e capacità di dimostrare la conformità in modo documentato e verificabile nel tempo. La “supply chain pressure” descritta nel report (partner, investitori e clienti che chiedono prove concrete) trasforma infine la compliance da costo da minimizzare a asset da valorizzare, posizionando gli MSP come abilitatori di questa valorizzazione piuttosto che semplici fornitori di servizi tecnici.