Direttiva NIS2 (e direttiva CER) opportunità per le imprese, solo se gestita bene
A cura di Alessandro Manfredini
Circa un mese fa è stata pubblicata in Gazzetta Ufficiale la legge di delega al governo per il recepimento della Direttiva NIS 2, relativa alle misure per un livello comune elevato di cybersicurezza, e la Direttiva CER relativa alla resilienza dei soggetti critici, disposizioni normative che si aggiungono a quanto già indicato nel Regolamento Dora, relativo alla resilienza operativa digitale per il settore finanziario.
Il tempo a disposizione non è molto, visto che i termini scadono a ottobre. Le sfide, invece, sono tante. Basti pensare al necessario raccordo con le altre normative come il Perimetro di Sicurezza Nazionale Cibernetica e la (ormai ben nota) normativa sulla privacy.
Dalla prima lettura ci si aspettano effetti importanti soprattutto sulle piccole e medie imprese che potrebbero essere inserite tra i soggetti essenziali o soggetti importanti (novità appunto della Direttiva NIS2), senza contare che tra le altre novità c’è il coinvolgimento della supply chain, pertanto è verosimile che le imprese non designate potrebbero comunque essere coinvolte in quanto provider (come si dice “quello che non entra dalla porta entra dalla finestra”).
Per questo serve un confronto tecnico strutturato con gli operatori e con chi potrebbe rappresentarli (dunque le associazioni) perché dobbiamo tenere conto del panorama e del tessuto economico del nostro Paese che è sicuramente diverso dagli altri Stati appartenenti alla Comunità Europea. Così se è vero che la EU ha inteso innalzare i livelli di sicurezza cyber all’indomani della crisi pandemica, adeguando ad esempio i settori ritenuti essenziali e importanti, non possiamo non tenere conto delle peculiarità del livello di industrializzazione e digitalizzazione, molto peculiare, del nostro Paese.
È urgente dunque definire una corretta migrazione da NIS a NIS2, anche se in realtà questo preoccupa meno, perché i soggetti in perimetro già oggi sono sicuramente più maturi; quella che veramente non deve essere sottovalutata è la corsa che dovranno fare le imprese passando direttamente alla NIS2 (i nativi 2.0!)
Infatti le prime stime ci indicano che i soggetti interessati passeranno da un migliaio a decine di migliaia e coinvolgeranno settori in cui i livelli di consapevolezza in materia cyber sono molto diversi.
Penso che sia poco realistico immaginare che nei tempi indicati tutte le Aziende saranno in grado di implementare tutte le misure tecniche e organizzative richieste.
Occorre dunque lavorare su almeno quattro filoni e ci si aspetta che il decreto legislativo di recepimento ne tenga conto.
- Serve una mentalità risk-driven; un approccio che fondato sulla valutazione, misurazione e trattamento del rischio definisca degli obiettivi di sicurezza piuttosto che misure “minime” (obbligatorie) di sicurezza. L’analisi deve poter essere contestualizzata in un determinato periodo, definendo livelli di sicurezza incrementali e un sistema di controlli mitigativi da adottare in corso d’opera.
- Il piano delle attività potrà (dovrà) essere notificato all’Autorità in modo che possa essere svolta anche la conseguente attività di vigilanza e ispezione e all’operatore sia lasciata la facoltà di organizzare il proprio lavoro in autonomia e rispettando lo stato iniziale dell’impresa (lo status quo, il T0 delle attività)
- Il decreto legislativo dovrebbe inoltre mantenere i requisiti di attualità imposti dalla transizione digitale, ovvero una norma con principi di diritto ma che lasci il compito all’autorità di settore di specificare le misure tecniche che possono cambiare nel tempo (e che ahimè cambiano ad una velocità pazzesca!)
- E’ necessaria una formulazione che renda poi il fornitore, ovvero le terze parti, assoggettato di default agli obblighi di legge, e non sulla base dei contratti con i soggetti interessati, per evitare disparità di trattamento tra supplier designati essenziali/importanti e supplier che potrebbero non esserlo.
In tale quadro come Associazione abbiamo richiesto una consultazione pubblica proprio per dare la possibilità al Parlamento di conoscere preoccupazioni, opportunità e proposte da parte del mercato.
È importante permettere all’economia italiana di crescere gradualmente affinché sia più forte e anche appetibile a interlocutori solidi e credibili, il rischio altrimenti sarà – in controtendenza rispetto alla finalità della norma – di appesantire le nostre PMI rendendo il Paese ancora più debole e dunque una preda più facile di investitori pirata.