NIS 2: tra obblighi e opportunità. Dal culto dell’esistente a una nuova cultura
Il 18 dicembre si è tenuto a Vicenza il primo convegno dal titolo: “NIS2: Sfide, Opportunità e Soluzioni per PMI e Supply Chain” alla presenza di decine di Piccole e Medie Imprese venete, nonché di professionisti.
Al centro del convegno, la sicurezza della catena di approvvigionamento: l’adesione alla norma consente di conservare o, addirittura, di conquistare nuove fette di mercato. Un processo virtuoso a beneficio dell’intero Sistema Paese.
Il Decreto legislativo n. 138/2024 che recepisce la Direttiva UE 2022/2555 (NIS 2) avrà indubbie ricadute non solo sui soggetti definiti “essenziali” ovvero “importanti”, ma anche su quelle imprese strategiche che, indipendentemente dalle dimensioni e dal fatturato, sono considerate critiche in quanto elementi sistemici di una catena di approvvigionamento, appunto (art. 3). Potremmo anche pronosticare che un cliente definito “soggetto essenziale” imporrà audit di 2^ parte ai suoi fornitori esigendo il medesimo rigore nell’applicazione dei requisiti NIS 2 che esso stesso deve garantire. Se vero che il grado di robustezza di una catena è determinato dal suo anello più debole, è altrettanto vero che nel business l’anello debole una volta individuato può essere eliminato e sostituito da un altro più affidabile.
“La cultura [della cybersecurity, aggiungiamo] è il nostro passaporto per il futuro, il domani appartiene alle persone che si preparano oggi” [Malcom X].
Perché la NIS 2?
Come noto, il lungo percorso, iniziato nel 2016 con la NIS 1 e perfezionatosi con il recente decreto, è stato intrapreso per porre un argine all’esplosione della minaccia cibernetica (fig. 1). Inarrestabile il fiume di attacchi da contrastare. Le guerre sono ormai attività ibride. Talune sono ancora condotte in forma bellica sul campo, talaltre utilizzando sistemi di aggressione diretta alle attività economiche, finanziarie, produttive, ecc. Nel 2023 dei 2.779 incidenti gravi analizzati a livello globale, l’11% ha colpito l’Italia (nel 2022 il 7,6%), il Paese in Europa che ha subito il maggior numero di attacchi.
Di seguito, i targets oggetto della furia distruttrice (fig. 2) e la classifica delle Regioni italiane più martoriate (fig. 3):
Anche di qui la necessità di iniziare questa opera di “evangelizzazione” dal Veneto indirizzandola ad attori da sempre coraggiosi e dinamici.
Secondo un rapporto di Cybersecurity Ventures, entro il 2025 i costi globali legati alla criminalità informatica sono destinati a raggiungere i 10,5 trilioni di dollari annui, rispetto ai 3 trilioni di dollari del 2015.
La NIS 2, le aziende e i professionisti
Dobbiamo apprezzare la solerzia e la sensibilità del Legislatore, ma nello stesso tempo dobbiamo sottolineare l’intricato viluppo di norme e disposizioni che, scollegate da un disegno organico e unitario, fissano una linea di condotta quasi impraticabile provocando, nella più generosa delle ipotesi, una surreale confusione. Il percorso è costellato da una serie di convulsi interventi che incrociando quelli della Privacy e della Resilience determina un ulteriore momento di disorientamento generatore di ulteriore confusione (fig. 4). In sostanza, è assai ostico percepire dove termini la disciplina dell’una e dove termini e inizi quella dall’altra. In questo clima è facile registrare aree di sovrapposizione all’interno delle quali confliggono obiettivi, metodi e competenze.
Fonti autorevoli, anche istituzionali, dai loro osservatori privilegiati affermano che la visione di insieme dovrebbe essere concentrica a significare che la PSNC (Perimetro di Sicurezza Nazionale Cibernetica) si colloca al centro del sistema ed attrae necessariamente i cerchi concentrici esterni che sono costituiti da NIS 2 e CER (fig. 5). Adottando tale visione – dicono – non vi sarebbero sovrapposizioni. Questa è una visione dall’alto della collina, tipica del generale settecentesco.
Tuttavia, il professionista nella sua trincea non scorge dalla sua feritoia anelli concentrici, ma giganteschi silos carichi di incombenze, obblighi, termini perentori, ecc.
La tavola comparata (fig. 6) non mostra solamente evidenti aree di sovrapposizione, ma soprattutto una pluralità di gravami derivanti da misure di sicurezza, tempi di notifica, individuazione di figure professionali ad hoc, sanzioni ecc. che, sebbene afferiscano per una buona parte al medesimo macro-ambito e analoga o complementare finalità, provocano un senso di vertigine nei più consapevoli, di paralisi nei timorosi e di insipienza nei neghittosi.
In particolare, vogliamo richiamare l’attenzione al cumulo delle pesanti sanzioni amministrative pecuniarie, inclusa quella accessoria applicata all’amministratore delegato o rappresentante legale della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto. Tornando a focalizzandoci esclusivamente sulla NIS 2, oltre ad aver più che raddoppiato i settori di interesse della normativa (6 nella NIS 1, 14 nella NIS 2 – fig. 7), sono previste precise misure tecniche, operative e organizzative da attuare (art. 24 – fig. 8) e fissate rigide soglie (Raccomandazione 2003/361/CE – fig. 9) che certamente impatteranno una elevata percentuale delle 26.830 imprese di medie e grandi dimensioni presenti sul territorio italiano (fig. 10).
Tra i più disparati obblighi per i soggetti rientranti nell’ambito di applicazione del decreto vi sarebbe, primo fra tutti, quello di riconoscersi in base ai suddetti criteri, autoidentificarsi e manifestarsi all’Autorità nazionale competente NIS attraverso l’apposita registrazione sulla piattaforma digitale messa a disposizione dall’Agenzia per la Cybersicurezza Nazionale (art. 7) che dovrà inderogabilmente avvenire tra il 1° gennaio e il 28 febbraio 2025 (Determinazione n. 38565/2024), pena sanzione amministrativa (art. 38).
Questa proliferazione normativa ha coperto gran parte degli spazi di interesse, ma, come detto, difetta di una linea interpretativa quasi si trattasse di una male articolata congerie di provvedimenti spesso scollegati tra di loro. Non è purtroppo ipotizzabile a breve l’adozione di un Testo Unico che in questo clima di interventi lobbistici richiederebbe intese politiche difficili da raggiungere nella particolare temperie.
Sarebbe quindi auspicabile, quantomeno, un intervento risolutivo espresso e sollecitato anche dai soli diretti interessati (le aziende) col fine di uniformare i processi e sensibilizzare il Decisore verso un definitivo chiarimento. Questo implica anche una intensa attività all’interno delle associazioni di categoria per un radicale mutamento di cultura contro il paralizzante culto dell’esistente.