Entro ottobre vanno recepite la NIS 2 e la CER. Il tempo è poco, le sfide molte. Secondo il presidente di Aipsa è urgente coinvolgere tutti gli attori chiamati ad applicarle: “È importante permettere all’economia italiana di crescere gradualmente”
“Serve una consultazione pubblica per coinvolgere tutti gli attori chiamati ad applicare le nuove direttive europee in materia di sicurezza informatica”. A spiegarlo a Formiche.net è Alessandro Manfredini, presidente di Aipsa (Associazione italiana professionisti della security aziendale).
Sabato 24 febbraio è stata pubblicata in Gazzetta Ufficiale la legge di delega al governo per il recepimento della Direttiva NIS 2, relativa alle misure per un livello comune elevato di cybersicurezza, e la Direttiva CER, relativa alla resilienza dei soggetti critici. Inoltre, la legge delega il governo all’adeguamento della normativa nazionale ad alcuni regolamenti europei, tra cui il Regolamento Dora, relativo alla resilienza operativa digitale per il settore finanziario.
Il tempo a disposizione non è molto, visto che i termini scadono a ottobre. Le sfide, invece, sono tante. Basti pensare al necessario raccordo con il Perimetro di sicurezza nazionale cibernetica e la normativa sulla privacy. Ma anche agli effetti sulle piccole e medie imprese e sui fornitori di tecnologi e servizi (le terze parti) agli attori interessati.
Per questo, “serve un confronto tecnico strutturato con gli operatori e con le associazioni che li rappresentano”, spiega Manfredini. “Il tema più urgente è la migrazione dalla Direttiva NIS 1 alla Direttiva NIS 2, che porta i soggetti interessati da un migliaio a decine di migliaia e coinvolgere settori in cui i livelli di maturità sono molto diversi. È poco realistico immaginare che nei tempi indicati si avranno tutte le misure tecniche e organizzative richieste”, osserva ancora il manager.
Quattro sono i punti evidenziati da Manfredini: “Serve una mentalità risk-driven; un approccio per obiettivi di sicurezza in un determinato periodo, con livelli di sicurezza incrementali, sistemi di controlli mitigativi e un piano da notificare all’autorità che poi svolge le opportune verifiche; la legge deve mantenere i requisiti di attualità imposti dalla transizione digitale, ovvero una norma con principi di diritto ma che lasci il compito all’autorità di settore di specificare le misure tecniche che possono cambiare nel tempo; è necessaria una formulazione che rende il fornitore, ovvero le terze parti, assoggettato di default agli obblighi di legge, e non sulla base dei contratti con i soggetti interessati”.
Per l’Italia e il suo modello economico, poi, il recepimento delle due direttive rappresenta una sfida importante. I numeri del Cyber Index PMI, pubblicato a ottobre da Generali e Confindustria, parlano chiaro: le 708 piccole e medie imprese coinvolte nel rapporto hanno raggiunto complessivamente un valore di medio di Cyber Index a 51 su 100, con la sufficienza fissata a 60. In particolare, è stata evidenziata una difficoltà nello stabilire priorità, perché mancano le azioni di identificazione corrette che permettano di approcciare le minacce cibernetiche in maniera più oculata e consapevole.
“È importante permettere all’economia italiana di crescere gradualmente affinché sia più forte e anche appetibile a interlocutori solidi e credibili”, osserva Manfredini. “Se non lo facciamo, rischiamo di rendere il Paese più debole e dunque una preda più facile”, conclude.