Sauro Mostarda, CEO di Lokky, analizza il primo trimestre 2026 e si chiede quale effetto abbiano avuto l’applicazione del NIS2 e Cyber Resilience Act sulle polizze.
Dopo un 2025 dominato dalla corsa alla compliance, la domanda che si apre ora: quali effetti concreti produrrà questa stretta normativa sul mercato assicurativo? I primi segnali indicano un cambiamento nei criteri di valutazione del rischio. Le compagnie sembrano attribuire un peso crescente alla maturità organizzativa e alla qualità dei controlli interni. Con richieste documentali più approfondite in fase di sottoscrizione e condizioni economiche sempre più differenziate tra imprese strutturate e realtà meno preparate. In questo scenario, la compliance tende a trasformarsi in parametro di selezione assicurativa.
Che anno sarà il 2026 per le polizze
Questa evoluzione non nasce però all’improvviso. Essa è l’esito di un percorso regolatorio avviato dall’Unione Europea in un contesto geopolitico segnato dalla crescente proliferazione di minacce ibride e cyberattacchi. Con l’obiettivo di minimizzare l’impatto che questi rischi possono avere sulla tenuta del sistema economico nel suo complesso. Oltre a rafforzare la resilienza di infrastrutture e imprese. I dati parlano chiaro. Per l’Allianz Risk Barometer 2026 gli incidenti informatici si confermano per il quinto anno consecutivo il primo rischio globale per le imprese (42%).
Minacce ibride e cyberattacchi
Mentre l’intelligenza artificiale emerge rapidamente come nuova area di esposizione (32%). In questo scenario, dove la business interruption (29%) rientra stabilmente tra le minacce più temute, le nuove direttive europee non appaiono più come semplici oneri burocratici. Ma come scudi necessari per garantire quella resilienza operativa che solo il 3% delle aziende dichiara oggi di possedere pienamente.
Il ruolo della direttiva NIS2
In questo scenario, la direttiva NIS2, entrata in vigore nel gennaio 2023 come evoluzione della precedente disciplina europea NIS1, amplia in modo significativo la platea dei soggetti obbligati e introduce meccanismi stringenti di accountability. Non si tratta solo di una questione meramente tecnica, ma di un vero e proprio shift culturale che investe la stessa governance aziendale. Obbligando i vertici delle imprese a farsi carico direttamente della resilienza digitale delle proprie organizzazioni. Pena il rischio di incorrere in sanzioni significative e l’esclusione da settori strategici dell’economia europea.
Adeguamento al Cyber Resilience Act
Parallelamente, si intensifica l’adeguamento al Cyber Resilience Act, il nuovo regolamento dell’UE che estende i requisiti di cybersicurezza a tutti i prodotti hardware e software immessi sul mercato europeo. Creando un composito ecosistema normativo che copre sia il livello delle infrastrutture che quello dei prodotti digitali. Questa convergenza normativa sta già producendo effetti tangibili sul mercato assicurativo.
Qui progressivamente, emerge con chiarezza una nuova dinamica. Ossia dopo la fase di compliance formale dell’anno scorso, si stanno affermando zone d’ombra operative. Le conseguenze si manifestano su tre versanti: esclusione dalla copertura, rialzi dei premi e richieste documentali sempre più stringenti in fase di assunzione del rischio.
Le zone d’ombra operative che minacciano le polizze
In primo luogo, sul fronte delle esclusioni, come attesta il Barometro Cybersecurity 2025 realizzato da NetConsulting cube il mercato assicurativo sta operando una vera e propria selezione senza sconti basata sul criterio della maturità organizzativa. Andando a penalizzare quelle realtà che non dimostrano di avere una governance strutturata. Secondo i dati, nonostante l’urgenza dettata dalla direttiva NIS2, il 76,5% delle aziende dichiara di non disporre di risorse interne sufficienti per gestire i nuovi adempimenti.
Evidenziando carenze sia in termini numerici che di competenze specifiche. Questa fragilità strutturale rende molte organizzazioni non assicurabili agli occhi dei sottoscrittori. Così le carenze organizzative, unite alla difficoltà di monitorare il rispetto degli standard di sicurezza lungo l’intera filiera, si traducono in un profilo di rischio troppo elevato per essere trasferito al mercato assicurativo.
NIS2 e Cyber Resilience Act – I premi
In secondo luogo, emerge con chiarezza anche la questione dei premi. Sebbene il primo semestre del 2025 abbia registrato una crescita del 53% degli incidenti rispetto all’anno precedente, la leva principale sui premi assicurativi non è il volume delle minacce. Bensì l’incapacità delle aziende stesse di attestare controlli interni maturi. A tal proposito, le statistiche del Barometro evidenziano un divario significativo nel Cybersecurity Maturity Index.
Mentre settori come quello dell’energia, della finanza e delle telecomunicazioni mostrano livelli elevati. Diversamente, comparti più critici, come la sanità, il retail e la pubblica amministrazione scontano ritardi storici nell’adozione di contromisure adeguate. Senza l’adozione di modelli proattivi basati su soluzioni che unifichino il controllo e automatizzino le risposte, le aziende rischiano di rimanere esposte a inefficienze. Inefficienze che il mercato assicurativo prezza con costi di polizza sempre più onerosi. Con rialzi che, in taluni casi, raggiungono il 30-40%.
La sottoscrizione assicurativa
In terzo luogo, si registra un cambio di paradigma nel processo di sottoscrizione assicurativa. Le compagnie assicurative utilizzano sempre più la compliance normativa. In particolare l’adeguamento alla direttiva NIS2 e ai requisiti di sicurezza della catena di approvvigionamento, come filtro preliminare per la selezione del rischio. In questo senso, la normativa agisce come uno schema in grado di tradurre requisiti astratti in passaggi operativi verificabili. Tuttavia, il vero banco di prova è rappresentato dalla gestione della supply chain, identificata dal 54,9% dei CISO come il rischio potenziale più elevato.
A partire dall’introduzione del Cyber Resilience Act, che impone requisiti essenziali di cybersicurezza per i prodotti con elementi digitali fin dalla progettazione, le assicurazioni valutano la capacità delle aziende di esercitare la dovuta diligenza sui componenti di terze parti. Di conseguenza, le richieste documentali si fanno sempre più stringenti. Come prove dettagliate dell’implementazione di misure tecniche e organizzative, evidenze di audit periodici, registri degli incidenti. Requisiti che, presi nell’insieme, rendono inevitabile l’esclusione dal mercato per chi non integra questi processi all’interno della propria governance aziendale.
Non basta più essere ‘solo’ in regola
Infine, il 2026 segna il definitivo scollamento tra la conformità di stampo formale e la reale assicurabilità nella pratica. Un’azienda può essere formalmente in regola con la documentazione. Ma, allo stesso tempo, rimanere completamente vulnerabile se non dispone di capacità adattive e di un’intelligence contestualizzata per fronteggiare minacce evolute. Difatti, nonostante il pacchetto legislativo presente, si continuano a registrare incidenti gravi anche in organizzazioni certificate.
Polizze e cultura assicurativa
Questo a dimostrazione del fatto che basta una singola vulnerabilità non gestita per compromettere l’infrastruttura nel suo complesso. Per essere assicurabili non basta più conformarsi alle prescrizioni della normativa. Infatti è necessario dimostrare una cultura della sicurezza che sia saldamente radicata nell’organizzazione, con processi consolidati e non mere dichiarazioni formali.
Conclusioni
In conclusione, la cybersicurezza non è più un’opzione né un adempimento burocratico. Ma un prerequisito sostanziale per operare nell’economia digitale europea e per mantenere l’accesso a strumenti essenziali di trasferimento del rischio. Come, ad esempio, le polizze cyber. In un mondo sempre più contraddistinto dalla centralità dei dati, l’era della sicurezza informatica come costo da minimizzare lascia il passo a quella della cybersicurezza come forma di investimento strategico e condizione di accesso al mercato.
Dopo un 2025 dominato dalla corsa alla compliance, la domanda che si apre ora: quali effetti concreti produrrà questa stretta normativa sul mercato assicurativo? I primi segnali indicano un cambiamento nei criteri di valutazione del rischio. Le compagnie sembrano attribuire un peso crescente alla maturità organizzativa e alla qualità dei controlli interni. Con richieste documentali più approfondite in fase di sottoscrizione e condizioni economiche sempre più differenziate tra imprese strutturate e realtà meno preparate. In questo scenario, la compliance tende a trasformarsi in parametro di selezione assicurativa.
