Negli ultimi anni, il quadro normativo europeo in materia di cybersicurezza ha subito un significativo rafforzamento con l’introduzione di due importanti framework normativi. Dora, entrato in vigore il 16 gennaio 2023 e applicabile dal gennaio 2025, stabilisce requisiti uniformi per la sicurezza delle reti e dei sistemi informativi delle aziende del settore finanziario, includendo banche, compagnie assicurative. Parallelamente, la direttiva Nis2 (recepita in Italia con il d.lgs. 138/2024), che sostituisce e rafforza la precedente direttiva Nis, amplia significativamente il perimetro dei settori considerati essenziali e importanti, introducendo obblighi di cybersicurezza più stringenti per un numero maggiore di soggetti.
La complessità e la portata di queste normative generano comprensibili preoccupazioni nel mondo imprenditoriale, soprattutto in relazione agli investimenti necessari e ai cambiamenti organizzativi richiesti. Tuttavia, si ritiene fondamentale modificare questa prospettiva a senso unico e considerare il nuovo quadro normativo come un’opportunità strategica per il rafforzamento della propria posizione competitiva. In un contesto dove gli attacchi informatici sono sempre più sofisticati e frequenti, con costi medi per incidente che secondo recenti studi superano svariati migliaia di euro, l’adozione di solidi presidi di cybersecurity non deve più essere vista come un’opzione bensì come una necessità imprescindibile per la sopravvivenza stessa dell’impresa.
Questa tipologia di normative fornisce in realtà un framework strutturato che permette alle aziende di costruire una vera e propria cultura della resilienza digitale. A parere di chi scrive, questo approccio non si deve limitare alla mera protezione dei dati, ma si deve estendere alla salvaguardia dell’intero patrimonio aziendale, includendo proprietà intellettuale, know-how, relazioni con i clienti e reputazione del brand. La conformità a Dora e Nis2 dovrebbe quindi tradursi in un vantaggio competitivo, dimostrando ai partner commerciali e ai clienti un impegno concreto nella protezione dei loro interessi.
Per affrontare efficacemente questa transizione, le imprese devono muoversi tempestivamente lungo due direttrici principali. La prima riguarda la formazione e lo sviluppo delle competenze. È essenziale investire nella preparazione del personale a tutti i livelli, con particolare attenzione anche all’organo amministrativo e ai livelli dirigenziali. Gli amministratori devono acquisire le competenze necessarie per comprendere appieno i rischi cyber e le implicazioni delle loro decisioni sulla sicurezza informatica dell’azienda, in modo da guidare un cambiamento culturale interno ed essere in grado di allocare efficacemente le risorse economiche disponibili e i relativi investimenti. Questo aspetto è particolarmente critico considerando che la maggior parte degli incidenti di sicurezza ha origine da errori umani o da una inadeguata consapevolezza dei rischi.
La seconda direttrice concerne la pianificazione strategica ed operativa. Per evitare interventi affrettati e costosi, è fondamentale sviluppare un piano di adeguamento che tenga conto delle specificità della singola azienda e delle risorse disponibili nell’ambito delle tempistiche di implementazione previste dalla normativa. Non è un caso se la Nis2 preveda tempistiche graduali di adeguamento in modo da poter distribuire in modo sostenibile i costi per la cybersecurity, evitando impatti economici eccessivi su un unico bilancio aziendale. Questo piano strategico-operativo deve quindi includere una valutazione dettagliata dei rischi, l’identificazione delle priorità di intervento e la definizione di un budget adeguato. Allo stesso tempo la pianificazione deve essere realistica e sostenibile, prevedendo milestone intermedie che permettano di monitorare i progressi e apportare eventuali correzioni di rotta.
Un aspetto particolarmente innovativo e cruciale di queste normative riguarda la condivisione delle informazioni sugli incidenti informatici e la collaborazione tra le aziende e le Autorità competenti; si pensi ad esempio al ruolo di Acn e a quello del Csirt. Questa previsione rappresenta un cambio di paradigma fondamentale: dalla sicurezza come fatto individuale alla sicurezza come responsabilità collettiva. La condivisione tempestiva delle informazioni sugli attacchi può infatti prevenire o limitare l’impatto di incidenti simili su altre organizzazioni, creando un effetto a catena positivo che rafforza la resilienza dell’intero ecosistema digitale. Tuttavia, il successo di questo sistema di information sharing dipende dalla capacità di creare un ambiente di fiducia dove le imprese possano condividere informazioni senza temere ripercussioni reputazionali o sanzioni sproporzionate. È comprensibile che le aziende possano essere riluttanti a comunicare pubblicamente di essere state vittime di un attacco informatico, temendo danni d’immagine o perdita di fiducia da parte di clienti e partner. Per questo motivo, è fondamentale che le autorità di supervisione adottino un approccio costruttivo e non punitivo, incentivando la trasparenza e la collaborazione.
Le aziende che decideranno di non conformarsi o di rimandare l’adeguamento rischiano non solo sanzioni significative, ma soprattutto di trovarsi impreparate di fronte alle sfide della digitalizzazione. Al contrario, le imprese che abbracceranno proattivamente questi cambiamenti potranno beneficiare di una maggiore resilienza operativa, di una migliore gestione dei rischi e di un vantaggio competitivo nel mercato. Normative come Dora e Nis2 rappresentano quindi un’opportunità per le aziende per rafforzare la propria posizione nel mercato attraverso una gestione più matura e consapevole dei rischi cyber. Il successo nell’implementazione di queste normative richiede un approccio olistico che combini formazione, pianificazione strategica e collaborazione tra tutti gli attori dell’ecosistema digitale. Solo attraverso questo impegno condiviso sarà possibile costruire un ambiente digitale più sicuro e resiliente per tutti. È fondamentale che regolatori, aziende e fornitori di servizi IT collaborino attivamente per creare un ambiente dove la trasparenza sia premiata e la sicurezza sia vista come un investimento strategico piuttosto che come un costo. Solo così questi strumenti normativi potranno realmente contribuire a costruire un ecosistema digitale più sicuro e resiliente, capace di sostenere la crescita e l’innovazione nel lungo periodo.
—
*Valerio Vertua è avvocato cassazionista e sviluppa, da anni, la propria attività professionale nei settori del diritto tributario, del diritto societario e del diritto dell’informatica e delle nuove tecnologie. Collabora con la Cattedra di Informatica Giuridica ed Informatica Giuridica Avanzata della Facoltà di Giurisprudenza presso l’Università degli Studi di Milano ed è studioso affiliato al Centro di Ricerca Coordinato in Information Society Law (Islc) della stessa università.
© RIPRODUZIONE RISERVATA
