Nis 2: le scelte delle imprese in tema di cybersecurity

Introdurre la cybersecurity nelle strategie di gestione e nei piani di sviluppo aziendale non è solo una questione di sicurezza IT, ma altresì un aspetto cruciale della governance e dell'attività dell'impresa, che impatta sulla stabilità finanziaria, sulla produttività e sulla reputazione dell'organizzazione. Con questo passaggio contenuto nella circolare n. 1 del 30 gennaio 2025 Assonime, l'Associazione fra le società italiane per azioni, ribadisce il ruolo chiave della sicurezza informatica per le realtà aziendali. La circolare, dal titolo “Nis2: le scelte delle imprese in tema di cybersicurezza”, offre una prima analisi della disciplina contenuta nel decreto Nis 2, il cui processo di attuazione sarà definito nei prossimi mesi da parte di ACN, l'Autorità nazionale per la cybersicurezza.  Al contempo, Assonime coglie l'occasione per effettuare qualche riflessione circa le sfide future che si prospettano per le imprese al fine di adeguarsi pienamente alla disciplina, cogliendone le opportunità in termini di reputazione e credibilità sul mercato. ​​

Il quadro generale

Partendo dallo scenario sempre più digitale e iperconnesso all'interno del quale si muove il mondo delle aziende, Assonime pone l'accento sull'escalation, negli ultimi anni, di rischi e attacchi informatici in ogni settore, pubblico e privato, ma altresì sulle risposte a livello normativo finalizzate a fronteggiare e arginare tali minacce. Assonime cita, tra le altre, la “Strategia dell'UE per la cyber security” del 2020, al cui interno è nata la revisione della direttiva Nis che ha individuato le notevoli divergenze nell'attuazione, da parte degli Stati membri, per quanto concerne ambito di applicazione, obblighi in materia di sicurezza, segnalazione degli incidenti e disposizioni in materia di vigilanza ed esecuzione. Ecco, quindi, che la Dir. UE 2022/2555 “Nis 2”, le cui disposizioni vengono applicate dal 18 ottobre scorso, punta a eliminare queste discrepanze tra gli Stati membri con norme minime riguardanti il funzionamento di un quadro normativo coordinato, con meccanismi per una cooperazione efficace tra le autorità responsabili in ciascun stato membro.

Non solo: Nis 2 aggiorna e amplia notevolmente anche l'elenco dei settori (suddivisi in altamente critici e critici) soggetti agli obblighi e prevede mezzi di ricorso e misure di esecuzione funzionali all'efficace applicazione degli obblighi. I soggetti che rientrano nell'ambito di applicazione del decreto Nis 2 vengono classificati in due categorie, soggetti essenziali e soggetti importanti, in funzione della loro importanza per il settore o il tipo di servizi che forniscono, nonché delle loro dimensioni.

Tra i soggetti essenziali, indipendentemente dalle loro dimensioni, figurano le PA centrali, i soggetti identificati come soggetti critici ai sensi D.Lgs. 134/2024 e i prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello, nonché i prestatori di servizi di sistema dei nomi di dominio. Oltre a loro, sono essenziali i soggetti dei settori ad alta criticità (elencati nell'allegato al decreto) che superano i massimali per le medie imprese, nonché i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico, che si considerano medie imprese.

I soggetti importanti, invece, sono individuati, in via residuale, come tutti i soggetti che rientrano nell'ambito di applicazione del decreto Nis 2, che non sono considerati essenziali.

Nis 2 rafforza poi i requisiti di sicurezza imposti alle imprese e regola il tema della sicurezza delle catene di approvvigionamento e dei rapporti con i fornitori. Inoltre, semplifica gli obblighi di segnalazione, introduce misure di vigilanza più rigorosi per le autorità nazionali e mira ad armonizzare i regimi sanzionatori in tutti gli Stati membri.

In Italia, il D.Lgs. 138/2024, in vigore dal 16 ottobre scorso, ha recepito nel nostro ordinamento la suddetta direttiva Nis 2, stabilendo misure volte a garantire un livello elevato di cybersecurity in ambito nazionale, che a loro volta contribuiscono ad aumentare il livello comune di sicurezza nell'UE e a migliorare il funzionamento del mercato interno. Oltre a ciò, Assonime ricorda anche il D.Lgs. 134/2024, che recepisce nel nostro ordinamento la direttiva sulla resilienza dei soggetti critici. Da non dimenticare, poi, l'attuazione del regolamento DORA, che stabilisce requisiti uniformi per la sicurezza delle reti e dei sistemi informativi di imprese e organizzazioni che operano nel settore finanziario, nonché di terze parti critiche che forniscono loro servizi relativi alle TIC. Infine, il regolamento europeo “Cyber Resilience Act”, entrato in vigore lo scorso dicembre, stabilisce i requisiti obbligatori in materia di cybersicurezza per prodotti hardware e software con un elemento digitale connesso, garantendo a imprese e consumatori una protezione contro le minacce informatiche.

Le sfide per le imprese

Secondo l'analisi di Assonime, l'attuale scenario internazionale impone alle imprese un nuovo approccio, un salto culturale che ponga gli aspetti di sicurezza informatica tra le priorità da considerare in ogni operazione e processo di sviluppo imprenditoriale.

La nuova disciplina introdotta dal decreto Nis 2 coinvolge tutte le organizzazioni, comprese le PMI lungo la catena di fornitura, e pone chiare responsabilità in capo agli organi di amministrazione e direttivi dell'impresa, per spingerli a partecipare attivamente e costantemente al processo decisionale sulla cybersicurezza, promuovendo in particolare sia una relazione diretta, sia flussi costanti di informazioni con i soggetti deputati a governare la sicurezza informatica all'interno dell'azienda.

Emerge inoltre, come fondamentale, il tema della formazione e alfabetizzazione in materia di cybersecurity per tutti i dipendenti dell'impresa e non solo per gli organi di amministrazione e direttivi. Secondo Assonime, questi ultimi sono chiamati a promuovere una cultura aziendale orientata alla correttezza nei rapporti e alla sicurezza delle relazioni, trasmettendo un segnale forte all'interno dell'organizzazione sull'importanza della cybersicurezza e all'esterno della stessa in termini di rinnovata reputazione e credibilità sul mercato.

È indubbio che le misure di adeguamento alla nuova disciplina Nis 2 comportino per le aziende un significativo aumento degli investimenti economici in sicurezza informatica e in nuove tecnologie, quali ad esempio il cloud computing, la blockchain, l'intelligenza artificiale. Su questo fronte resta ancora molto da fare, osserva Assonime, soprattutto riguardo alle imprese più piccole, che oltre a disporre di risorse limitate, non vedono, al momento, un'offerta di mercato capace di andare pienamente incontro alle loro specifiche esigenze. Assonime conclude che Nis 2 aggiunge un tassello fondamentale per il sistema imprese, nell'ottica di cogliere appieno tutte le opportunità che provengono dall'economia dei dati. Infatti, si favorisce e si salvaguarda lo scambio virtuoso e vantaggioso dei dati tra imprese, che per essere tale deve realizzarsi all'interno di un ecosistema caratterizzato da un elevato livello di sicurezza e fiducia.