L’introduzione della Direttiva Nis2 (Network and Information Systems Directive 2) rappresenta un passaggio chiave negli scenari della cybersicurezza in Europa e vede come termine ultimo per il recepimento da parte dei Paesi membri il 17 ottobre 2024. Nel quadro normativo, recepito dal nostro Paese, e nello schema del decreto legislativo discusso presso la IX Commissione (Trasporti, Poste e Telecomunicazioni) della Camera dei Deputati, si impone alle imprese un’adeguamento a Nis2 volto a garantire un elevato livello di sicurezza delle reti e dei sistemi informativi in tutto il continente. Tuttavia, l’implementazione di tali misure richiede anche un bilanciamento attento tra gli obiettivi di cybersicurezza nazionali e gli oneri che queste nuove regole impongono alle imprese, specialmente quelle di piccole e medie dimensioni. Un tema su cui si sofferma in modo particolare un’analisi Deloitte.
L’essenza della Direttiva Nis2
La Direttiva Nis2 è concepita come evoluzione della precedente Direttiva Nis, adottata nel 2016, che mirava a rafforzare la sicurezza informatica nei settori critici e nei fornitori di servizi digitali. Con l’evoluzione delle minacce cibernetiche e l’aumento della dipendenza dai sistemi informatici, ora Nis2 estende il campo di applicazione a nuovi settori, come quello chimico, della produzione alimentare, e delle telecomunicazioni, includendo anche categorie di imprese che prima erano esentate. L’obiettivo principale della Nis2 è creare un livello comune di sicurezza informatica in tutta l’Unione Europea, assicurando che le infrastrutture critiche, dai trasporti all’energia, siano protette da attacchi informatici sempre più sofisticati. Tuttavia, questa standardizzazione delle misure di sicurezza impone alle imprese l’adozione di nuovi processi e tecnologie, spesso con costi significativi.
I principi guida per un’attuazione equilibrata
Lo studio Deloitte, richiesto dalla IX Commissione, evidenzia l’importanza di una serie di principi guida per l’implementazione della Nis2, che potrebbero aiutare le imprese a “navigare” in un complesso panorama normativo senza essere schiacciate dagli oneri burocratici e finanziari. Seguiamo i passaggi dello studio.
1. Consistenza – Le misure di cybersicurezza devono essere applicate in maniera uniforme, ed essere allineate ai framework esistenti. Questo principio sottolinea l’importanza di evitare sovrapposizioni e contraddizioni tra le normative esistenti e quelle nuove, permettendo alle imprese di costruire su basi solide già consolidate.
2. Proporzionalità – La direttiva deve tener conto delle diverse dimensioni e dei diversi ambiti di azione delle imprese, e gli obblighi devono essere applicati pertanto in modo differenziato. Non tutte le aziende hanno le stesse capacità e risorse, ed è essenziale che gli obblighi di cybersicurezza siano proporzionati a dimensione, settore e importanza critica.
3. Gradualità – L’adozione delle misure di sicurezza dovrebbe essere progressiva, si dovrebbe quindi avviare i lavori a partire dalle infrastrutture più critiche e quindi estendere il raggio d’azione gradualmente al resto dell’organizzazione. Questo approccio permette alle imprese di adattarsi gradualmente ai nuovi requisiti, riducendo l’impatto finanziario e operativo.
4. Flessibilità – Le imprese devono avere la possibilità di adottare metodologie proprie per gestire le criticità dei sistemi. Questo principio riconosce che non esiste una soluzione unica per tutte le realtà aziendali, e che le imprese devono avere la libertà di implementare le misure di sicurezza in modo che si adattino alle loro specifiche esigenze e contesti operativi. Preservando in ogni caso spirito ed ‘essenza’ della Direttiva.
5. Priorità – È necessario e auspicabile scandire tempi di recepimento differenziati, basati sulla criticità delle risorse informatiche o dei servizi in questione. Si parla quindi, in questo caso, di una scansione per funzionalità critiche nei verticali d’aziende. Le imprese devono allora conoscere quali aree della loro infrastruttura sono più critiche e quindi meritano attenzione immediata, rispetto ad altre che possono essere affrontate successivamente.
Quali le sfide per l’impresa italiana
Nel contesto italiano, si stima che decine di migliaia di imprese saranno impattate da Nis2. Realtà che spaziano dai fornitori di servizi digitali ai settori tradizionali – come le utility/energy e i trasporti – si trovano di fronte alla necessità di migliorare le loro difese cibernetiche in un arco di tempo relativamente breve.
Per molte di queste imprese, in particolare le Pmi, il principale ostacolo è rappresentato dai costi associati all’implementazione delle nuove misure di sicurezza. Nis2 richiede infatti investimenti significativi in termini di tecnologia, personale specializzato e formazione continua. Si parla di elementi che non sono facilmente accessibili a tutte le aziende. A spaventare di più è però la complessità della normativa che può risultare difficile da gestire senza un supporto adeguato. Le piccole e medie imprese, che spesso non dispongono di un dipartimento IT dedicato, potrebbero trovarsi sopraffatte dagli obblighi di conformità, rischiando sanzioni o, peggio, esponendosi a minacce cibernetiche a causa di un’implementazione inadeguata.
Nis2, tra opportunità e benefici
Nonostante le sfide, Nis2 rappresenta un’opportunità per le aziende del nostro Paese di rafforzare le proprie difese cibernetiche e migliorare la resilienza. L’adozione di misure di sicurezza più rigorose può portare diversi benefici, tra cui:
- Miglioramento della fiducia dei clienti – Le aziende che dimostrano un forte impegno nella cybersicurezza possono guadagnare la fiducia dei loro clienti, che vedono in queste imprese un partner sicuro e affidabile.
2. Migliorata protezione contro le minacce – Con l’aumento delle minacce informatiche, una ponderata difesa cibernetica può proteggere le imprese da attacchi che potrebbero avere conseguenze devastanti, sia a livello finanziario che reputazionale.
3. Accesso a nuovi mercati – Le imprese che rispettano standard di sicurezza elevati possono guadagnare un vantaggio competitivo nei mercati internazionali, anche perché la sicurezza informatica è un elemento di valutazione sempre più importante nella scelta dei partner commerciali.
4. Innovazione e sviluppo – La necessità di adeguarsi a nuovi requisiti di cybersicurezza può stimolare le imprese a innovare, investendo in nuove tecnologie e processi che migliorano l’efficienza e la sicurezza delle loro operazioni.
Il ruolo del governo e delle istituzioni
Per facilitare l’adozione della Nis2, il governo e le istituzioni italiane giocano un ruolo cruciale. È questa anche la parte più interessante dello studio Deloitte che mette a fuoco lo sforzo necessario da compiere per un supporto mirato per le imprese, in particolare proprio le Pmi, per aiutarle a navigare le complessità della normativa e a implementare le misure richieste senza compromettere la loro sostenibilità economica.
Seguendo sempre la memoria Deloitte individuiamo alcune delle azioni che potrebbero essere intraprese:
- Incentivi fiscali – Offrire incentivi fiscali alle imprese che investono in cybersicurezza potrebbe ridurre l’onere finanziario e stimolare un’adozione più rapida delle misure richieste.
2. Semplificazione normativa – La semplificazione degli obblighi di registrazione e delle attività ispettive potrebbe ridurre il carico burocratico per le imprese, permettendo di concentrarsi sull’implementazione delle misure di sicurezza.
3. Formazione e supporto – Fornire formazione e supporto tecnico alle imprese, soprattutto alle Pmi, sarà essenziale per assicurare che abbiano le competenze necessarie per rispettare i nuovi requisiti normativi.
4. Armonizzazione a livello europeo – L’armonizzazione delle modalità di adozione delle misure di sicurezza e di notifica degli incidenti a livello europeo serve a ridurre le disomogeneità tra i vari Stati membri, facilitando il rispetto delle norme da parte delle imprese che operano a livello transnazionale.
Il successo nell’implementazione virtuosa di Nis2 dipende dalla capacità di bilanciare gli obiettivi di sicurezza nazionali con gli impegni richiesti alle imprese. Seguendo i principi individuati da Deloitte sarebbe possibile generare un quadro normativo che non solo protegga le infrastrutture critiche, ma che allo stesso tempo supporti le imprese nel loro percorso di trasformazione digitale. Per le realtà aziendali si tratterà di adeguarsi agli standard senza compromettere la competitività, così che Nis2 resti semplicemente un’opportunità per rafforzare la posizione sul mercato globale, guadagnare in resilienza e puntare a un futuro digitale più sicuro.
© RIPRODUZIONE RISERVATA
