Probabilmente nessuno se n’era accorto, quando nel gennaio 2023 era entrata in vigore la Direttiva Europea NIS2. Di cosa si tratta? Di una normativa volta a incrementare il livello di sicurezza e resilienza informatica degli Stati Membri dell’Unione Europea. Come? Imponendo alle imprese coinvolte di applicare delle misure in ambito di cybersecurity che consentano di proteggerle in uno scenario sempre più vicino a un Far West digitale.
Rivoluzione digitale
A dispetto dell’iniziale anonimato, da qualche settimana la NIS2 è però sulla bocca di tutti. E il motivo è molto semplice: la Direttiva dovrà essere recepita dagli Stati Membri entro il 17 ottobre 2024. Da quella data, la cybersecurity non sarà più una scelta, ma un obbligo. Il Consiglio dei Ministri ha approvato la bozza del Decreto Legislativo lo scorso 10 giugno e da quel momento si è scatenato qualcosa di molto vicino al panico.
Parola all’esperto
Stabilito di cosa si tratta, abbiamo cercato di capire chi siano i soggetti coinvolti e cosa comporta il non adeguarsi alla normativa. Ne abbiamo parlato con un esperto del settore: Michael Clemente, CEO di Clio Security, azienda attiva nel campo della sicurezza informatica: “Siamo di fronte a una specie di rivoluzione. Intanto occorre fare un parallelismo: nella NIS1 erano i singoli Stati che dovevano individuare i soggetti da sottoporre a questa normativa”. I soggetti, tanto nella NIS1 quanto nell’attuale NIS2, sono suddivisi in:
- Settori altamente critici o essenziali (aziende del settore energetico, bancario, dei trasporti, dei mercati finanziari, dello Spazio, dell’ambito informatico)
2. Settori critici o importanti (aziende del settore alimentare, chimico, fabbricazione, servizi postali, gestione rifiuti, ricerca)
3. Pubbliche amministrazioni centrali, regionali, locali
“I singoli Stati – prosegue Clemente – facevano una lista, tra l’altro secretata, in cui inserivano questi soggetti. Tuttavia, il legislatore si è presto accorto che non c’era armonia nell’applicazione della normativa. Alcuni Stati inserivano moltissime aziende, altri pochissime. Ecco allora arrivare la NIS2, dove vige il criterio dell’autovalutazione“.
Arretratezza digital-culturale
Proprio così: saranno le singole aziende e i singoli enti che adesso dovranno armarsi di santa pazienza, studiare attentamente il testo della normativa, e capire se rientrano o meno tra i soggetti coinvolti in questa rivoluzione copernicana. Uno dei criteri scelti dall’Italia è quello di scremare le aziende coinvolte sulla base del codice Ateco e del fatturato. Ma a questo punto una domanda sorge spontanea: siamo strutturati – anche e soprattutto culturalmente – per una cosa di questo genere?
“No – risponde secco il CEO di Clio Security – c’è tantissimo da fare e poco tempo per farlo. Ovviamente le grandi aziende sono avvantaggiate. Per loro la cybersecurity è già da diversi anni una voce di spesa nel bilancio annuale. Per molte altre realtà non è così. Sono in tanti a partire da zero”. E in questi casi immaginiamo che il dispendio economico non sia uno scherzo. Il governo al momento non ha previsto alcuna forma di assistenza economica, ma come sostiene Michael Clemente, potrebbe essere utile ragionare su una defiscalizzazione su alcune voci di spesa “da valutare però caso per caso: nel nostro settore non esiste la bacchetta magica, ogni realtà è a sé, per cui definire a priori quali sono gli interventi finanziabili con uno schema rigido potrebbe non andare a incontrare i bisogni di tutte le aziende”.
Le sanzioni per chi non si adegua
Insomma, uno scenario piuttosto complesso che rischia di scoraggiare molti. Cosa accadrebbe in caso di inadempienza nell’applicazione della normativa? “Eh, sanzioni importanti”. Quanto importanti? Giudicate voi:
Per i soggetti considerati “essenziali”, le sanzioni possono arrivare a multe di 10 milioni di euro o al 2% del fatturato annuo globale per l’esercizio precedente. Per i soggetti considerati “importanti”, le multe possono arrivare a 7 milioni di euro o all’1,4% del fatturato annuo globale per l’esercizio precedente; per altri soggetti le multe si aggirano intorno ai 125.ooo euro. C’è poco da scherzare. Soprattutto perché in caso di grave inadempienza, l’Agenzia Nazionale per la Cybersecurity, che è organo vigilante, può applicare delle sanzioni amministrative accessorie, che consistono nella sospensione temporanea dei certificati e delle autorizzazioni necessarie per svolgere determinate attività o nella sospensione temporanea rivolta a persone fisiche che svolgono funzioni dirigenziali o di rappresentanza legale all’interno di entità “essenziali” o “importanti”.
Le aziende coinvolte
Qual è la portata di questo cambiamento epocale? Quanti sono i soggetti coinvolti in Italia? “Parlando di aziende direttamente coinvolte, le stime parlano di 15.000 unità. Ma uno dei principi innovativi della NIS2 è che coinvolge anche la catena di fornitura, ovvero realtà magari più piccole e non necessariamente essenziali o importanti, ma che hanno rapporti di fornitura con queste ultime. In tal caso, il perimetro delle realtà coinvolte diventa molto più ampio”.
I tempi della NIS2
A questo punto non resta che chiedere quali siano le tempistiche. Abbiamo detto che il 17 ottobre 2024 è il termine ultimo per il recepimento. Poi quali altre sono le date importanti che riguardano la NIS2? “Dal 1 gennaio al 28 febbraio 2025 le aziende coinvolte dovranno registrarsi sulla piattaforma resa disponibile dall’ACN, la quale dovrà entro il 31 marzo redigere la lista dei soggetti essenziali o importanti inseriti nel perimetro. Dal 15 aprile al 31 maggio, i soggetti rientranti nella lista dovranno integrare alcune informazioni sulla piattaforma, come l’indirizzamento IP pubblico e l’elenco degli Stati Membri con cui si hanno rapporti di lavoro; arriviamo poi al 2026. Dal 1 maggio al 30 giugno le aziende del perimetro dovranno dare comunicazione dell’elenco delle attività, dei servizi la propria categoria di appartenenza; entro dicembre 2026 c’è il termine ultimo per l’adeguamento del processo di notifica degli incidenti informatici. Infine, dopo 18 mesi, cioè nel settembre 2027, scade il termine ultimo per l’adempimento degli obblighi in ambito governance e misure di sicurezza”. In poche parole, 24 mesi di fuoco.
C’è sempre di peggio
L’impressione è che l’Italia stia compiendo un salto verso il futuro con un piede azzoppato. Mai come in questo momento, infatti, stiamo scontando la nostra arretratezza tecnologica e culturale. Tuttavia, Michael Clemente cerca di “indorare la pillola”: “Se qualcuno pensa di scoraggiarsi di fronte alle pratiche burocratiche da affrontare o di fronte alle spese da affrontare, pensate che in fondo è nulla rispetto a quello che affrontereste, in termini burocratici e, soprattutto, economici, se veniste attaccati dai cyber criminali”. Ordunque, gioite gente. NIS2 ci traghetterà verso un’era di consapevolezza e cyber sicurezza (o almeno così si spera).