NIS 2 e cybersicurezza: leva sicura per favorire lo scambio dei dati

Con il position paper n. 2 del 10 febbraio 2025, Assonime sottolinea l'attenzione sulla disciplina introdotta dalla direttiva europea Nis 2 (Dir. UE 2022/2555), che, nella prospettiva della Strategia europea dei dati, identifica un punto di appoggio e una leva sicura per favorire lo scambio dei dati.

Priorità della Strategia europea è l’accesso, la condivisione e la circolazione dei dati, in quanto presupposto per l’utilizzo delle nuove tecnologie data-driven e, in ultima istanza, per il recupero della produttività e della competitività delle singole imprese e del sistema. Attraverso misure e azioni che ora si inscrivono nel Digital Compass, l’Unione continua a rinforzare la fiducia nello scambio dei dati, facendo leva anche sulle nuove regole in tema di cybersicurezza.

Secondo il “Cost of a Data breach Report 2024”, elaborato da IBM, il costo medio di una violazione dei dati derivante da attacchi cyber, a livello globale, è passato da 4,45 milioni a 4,88 milioni di dollari nel 2023. L’Italia è il quinto paese al mondo per vulnerabilità cyber secondo la classifica del Report e ha raggiunto un costo medio di 4,73 milioni di dollari nel 2024, con un incremento del 23% rispetto al 2023, a fronte di violazioni sempre più dannose2.

La sanità e il settore finanziario sono quelli che risultano più sotto attacco e colpiti. Anche le imprese industriali e quelle del settore tecnologico hanno registrato violazioni particolarmente onerose, seguite da quelle del settore energetico e della farmaceutica. Per rispondere, dunque, al nuovo panorama dei rischi cyber, caratterizzato dall’intensa digitalizzazione e da crescenti tensioni geopolitiche, l’Europa ha deciso di proseguire lungo il percorso delineato dalla prima direttiva Nis e, con la direttiva “Nis 2”, ha posto un nuovo fondamentale tassello nella definizione di un quadro adeguato di cybersicurezza.

Il quadro regolatorio promuove una vera e propria disruption nella gestione della cybersecurity, che non è più relegata a questioni di stretta sicurezza IT, ma si impone nelle strategie di gestione e nei piani di sviluppo aziendale, acquisendo centralità nell’organizzazione, governance e attività dell’impresa, con un impatto significativo sulla stabilità finanziaria, sulla produttività e sulla reputazione dell'organizzazione aziendale.

La previsione di chiare responsabilità in capo agli organi di amministrazione e direttivi dell’impresa innesca una spinta, incentivando gli organi di corporate governance a partecipare attivamente e costantemente al processo decisionale sulla cybersicurezza, in particolare attraverso una relazione diretta e flussi costanti di informazioni, con i soggetti deputati a governare la cybersecurity all’interno dell’impresa.

In conclusione, ciò che viene richiesto come punto di appoggio e leva sicura per lo scambio dei dati è un vero salto culturale, nel senso che non basta interpretare e applicare gli obblighi previsti dalla normativa Nis 2 in modo formale, ma serve un nuovo approccio che ponga gli aspetti di cybersecurity tra le priorità da considerare negli assetti organizzativi e in ogni fase di sviluppo imprenditoriale.