Nel recepimento in Italia della Nis2 è “cruciale ispirarsi a principi di consistenza, comparabilità, proporzionalità, gradualità, flessibilità e priorità per assicurare un equilibrio tra gli obiettivi di cybersicurezza nazionali e gli oneri finanziari, amministrativi e tecnici richiesti alle imprese”.
È quanto emerge dalla memoria (SCARICA QUI IL DOCUMENTO COMPLETO) di Deloitte richiesta dalla IX Commissione (Trasporti, poste e telecomunicazioni) della Camera dei Deputati, in merito allo schema di decreto legislativo recante recepimento della direttiva (Ue) 2022/2555 relativa alle misure per un livello comune elevato di cybersicurezza nell’Unione europea (Nis2).
Recepimento della Nis2: la flessibilità è cruciale
I principi indicati da Deloitte puntano all’applicazione uniforme delle misure di cybersicurezza richieste alle imprese in linea con i Framework precedentemente adottati (“consistenza”); all’estensione di differenziazione per obblighi secondo ulteriori criteri come settori, sottosettori o categorie di soggetti (proporzionalità); all’adozione progressiva delle misure, inizialmente focalizzata sui sistemi, reti e servizi critici, estendendosi poi al resto dell’organizzazione (gradualità); alla possibilità per le imprese di adottare metodologie e approcci propri consolidati nel tempo per gestire la criticità dei sistemi e modulare di conseguenza l’adozione delle misure di sicurezza (flessibilità attuativa); a definire infine i tempi di recepimento differenziati, in relazione alla criticità delle risorse informatiche o dei servizi in ambito (priorità).
Nella memoria di Deloitte si legge che una “auspicabile applicazione” di questi principi “implicherebbe un beneficio in termini di conseguimento degli obiettivi di cybersicurezza bilanciati con gli impegni richiesti alle imprese, valorizzando le strategie e i programmi messi in atto dalle imprese negli anni passati, evitando di imporre un onere finanziario/amministrativo aggiuntivo a quanto già previsto”.
Le sfide per le imprese nell’attuazione
La sfida principale per l’Italia e gli altri Stati membri dell’Ue nella conformità con la Direttiva Nis 2, evidenzia Deloitte nel documento, consiste nel garantire che il raggiungimento degli obiettivi stabiliti dall’Unione in materia di cybersicurezza avvenga tutelando le imprese da oneri eccessivi e sproporzionati in termini di impegno e risorse.
In particolare, si evidenziano due aspetti peculiari da considerare: l’eterogeneità dei soggetti coinvolti e la complessità attuativa richiesta per l’adozione di misure di sicurezza su tutti i sistemi presenti all’interno dei soggetti, non solo sui sistemi associati ai servizi più critici. Ciò impone come diretta conseguenza l’identificazione di ambiti, ad esempio sistemi e infrastrutture It, Ot e/o Iot, differenziati per impatto e livello di rischio.
Lo schema di decreto legislativo italiano prevede diversi elementi che hanno l’obiettivo di indirizzare queste sfide ed è partendo da questi che Deloitte propone elementi aggiuntivi da valutare, alcuni dei quali si ispirano a nuovi principi, altri
invece che estendono e declinano ulteriormente quelli già previsti dallo schema di decreto.
Semplificare gli obblighi, prevedere incentivi
Oltre ai principi, la memoria sottolinea l’importanza di incentivare le imprese: “Al fine di rendere meno onerosi gli adempimenti di conformità per i soggetti interessati, è
auspicabile prevedere fondi e contributi per le imprese che possano agevolare l’implementazione delle misure”.
Inoltre, sarebbe importante semplificare gli obblighi di registrazione e le attività ispettive, nonché armonizzare a livello europeo le modalità di adozione delle misure di sicurezza e di notifica degli incidenti.
Infine, “è auspicabile comprendere quale sarà il ruolo di eventuali certificazioni sulla sicurezza (es. Iso 27001, …) e considerarne il valore, eventualmente come sostituto dell’evidenza di compliance, in particolare quando l’ambito di certificazione è costituito da tutti i sistemi aziendali”.
La direttiva Nis2 mira a garantire la sicurezza in tutti i settori strategici della nostra economia e società, come energia, trasporti, infrastrutture dei mercati finanziari, sanità, banche, infrastrutture digitali, fornitori di servizi digitali e ancora spazio, gestione dei servizi Ict, gestione dei rifiuti, ricerca e altri ancora.
Sono decine di migliaia le imprese italiane che potrebbero essere potenzialmente impattate. Tutto ciò, scrive Deloitte, rappresenta una sfida, ma anche un’opportunità per avviare o proseguire nel percorso di innalzamento dei livelli di cybersicurezza delle singole imprese, fondamentale per la resilienza e lo sviluppo digitale, economico e sociale del nostro paese.
