cyber sicurezza

NIS 2: i problemi pratici per le aziende Ue



Indirizzo copiato

La Direttiva NIS 2 presenta alcuni punti destinati a produrre più di un problema pratico. La necessità di referenti locali in materia di cybersecurity, la gestione centralizzata dei sistemi informatici e la complessità delle misure di sicurezza sono solo alcuni dei problemi che emergono

Pubblicato il 9 ott 2024

Alessandro Curioni

Fondatore di DI.GI Academy, specializzato in Information Security & Cybersecurity – Data Protection



cybersicurezza security

Se il giorno in cui la NIS 2, che dovrebbe cambiare la faccia della cybersecurity si avvicina (entrerà in vigore il prossimo 16 ottobre 2024 e in Italia è stato appena pubblicato il decreto attuativo di recepimento della Direttiva), è probabile che il momento in cui le organizzazioni europee la metteranno a terra si allontana.

I possibili problemi pratici della NIS 2

Volendo anche mettere da parte la “cattiva volontà” di decine di migliaia di aziende e pubbliche amministrazione che non colgono l’importanza del tema e consentono ai criminali cyber di raderle al suolo sistematicamente. Pensando pure di trascurare l’atroce sospetto che molti hanno della trasformazione del provvedimento in un generatore di carta inutile (a partire dalle migliaia di questionari per il controllo della supply chain). Facendo poi un atto di fede e speranza per cui la nostra Agenzia per la cybersicurezza nazionale abbia la forza e le risorse per svolgere il suo oneroso compito.

Ecco, fatte tutte queste premesse, la norma presenta al suo interno alcuni punti che sono destinati a produrre più di un problema pratico.

I disagi che potrebbero derivare dal tema della giurisdizione

In questa sede mi occupo dei disagi che potrebbero derivare dal tema della giurisdizione.

Sul sito della Commissione Europea, nella pagina dedicata alle FAQ sulla NIS 2 si legge quanto segue “Di norma, i soggetti essenziali e importanti sono considerati sotto la giurisdizione dello Stato membro in cui sono stabiliti. Se l’entità è stabilita in più di uno Stato membro, dovrebbe rientrare nella giurisdizione di ciascuno di tali Stati membri.” La spiegazione di questo assunto è nella natura dei destinatari della norma, che sono gli stessi stati membri e non le organizzazioni private che lo sono in subordine. Quindi in gioco ci sono temi di sicurezza nazionale. In sovrappiù si tratta di un’applicazione del principio di sussidiarietà che mira, come si legge sul sito della UE “a garantire che le decisioni siano adottate a un livello che sia il più vicino possibile al cittadino…”. I destinatari del provvedimento spiegano perché la NIS 2 sia una Direttiva (da recepire con provvedimenti locali) e DORA un regolamento (valido in tutti gli stati e abrogativo di eventuali norme locali) anche se sostanzialmente dicono le stesse cose.

La natura “politica” di NIS 2 e Regolamento Dora

Apriamo un inciso per fare un rilievo sulla natura “politica” delle due norme che in molti punti appaiono sovrapponibili e, per giunta, una fetta significativa degli operatori all’interno del perimetro DORA lo sono anche in quello della NIS 2. Partendo dalla NIS 2, essa appare un provvedimento fortemente orientato ad agire sulle organizzazioni europee che, con grande evidenza, in troppi comparti strategici si sono dimostrate riottose rispetto alla cybersecurity. In buona sostanza quindi si tratta di un intervento normativo che parla ad aziende pubbliche e private del Vecchio Continente.

Al contrario, con DORA la UE sembra rivolgersi all’esterno, che ha preso atto dello scarso o nullo potere contrattuale degli operatori finanziari europei rispetto a soggetti come Microsoft, Google o Amazon. In risposta a questa situazione di sudditanza l’Unione ha pensato di inserire anch’essi tra i soggetti che rientrano nel campo di applicabilità del regolamento. Lo si evince dall’articolo due dove, oltre a quelle che sono definite entità finanziarie, hanno trovato spazio anche i fornitori di servizi TIC. Risultato finale le regole DORA valgono anche per le Big Tech.

Aziende Ue che operano in più Stati: serve un referente in materia di cybersecurity locale

Detto questo, la NIS2 prevede che ogni autorità competente in materia a livello nazionale definisce quali sono gli operatori essenziali e quelli importanti, una situazione che finirà, sono piuttosto convinto, per gettare nello sconforto decine di migliaia di aziende europee, soprattutto quelle di medie dimensioni che operano in più paesi dell’Unione attraverso società controllate. Le ragioni sono più d’una. In primo luogo, sarebbe richiesta la presenza di un referente in materia di cybersecurity locale. Ipotizzare di governare i rapporti con l’autorità locale, rispetto a una norma recepita con un atto governativo del singolo stato, senza un referente esperto della materia presente on site mi sembra un po’ troppo arrogante.

Pensare, poi, di gestire la notifica di un eventuale incidente da remoto mi sembra se non folle, quanto meno complesso.

La gestione centralizzata dei sistemi informatici: le possibili complicazioni

In secondo luogo, è molto probabile che i sistemi informatici, almeno la parte “core”, siano gestiti in modo centralizzato. Una situazione che produce una serie di possibili complicazioni (da professionista della cybersecurity potrei considerarle dei piacevoli effetti collaterali, ma devo essere realista).

La gestione delle misure di sicurezza

La prima riguarda la gestione delle misure di sicurezza richieste per quella specifica entità. Le soluzioni possono essere due: elevare il livello di cybersecurity dell’intera infrastruttura e di tutto il mondo applicativo dell’organizzazione oppure segregare, come fosse un “appestato”, la singola entità. In entrambi casi parliamo di qualcosa di terribilmente complicato e costoso.

La posizione di “fornitore” del controllante sulla controllata

La seconda complicazione è la posizione di “fornitore” del controllante sulla controllata e tutti sanno quanto la Direttiva abbia a cuore il governo della supply chain. Nello specifico si potrebbero generare situazioni paradossali per cui il controllato deve controllare il suo controllore (scusate il gioco di parole).

Il ruolo delle Autorità nazionali

Al centro di tutto questo si pongono inevitabilmente le autorità competenti di ciascuno di questi Stati membri che, come specifica il sito della Commissione Europea, nella pagina dedicata alle FAQ sulla NIS 2, “dovrebbero cooperare, prestarsi reciproca assistenza e, se del caso, svolgere azioni di vigilanza congiunte”. Senza dubbio quel condizionale spaventa e sarebbe stato preferibile un indicativo presente o, ancora meglio, un imperativo. Senza dubbio da domani, ma sarebbe stato meglio da ieri, le diverse agenzie europee incaricate di vigilare dovrebbe iniziare a parlarsi perché, se questa Direttiva deve essere messa a terra in tempi ragionevoli, devono fornire indicazioni precise e in tempi rapidi. In caso contrario forniranno l’ennesima scusa a chi di cybersecurity non ha mai voluto sentirne parlare e preferisce ancora pagare il conto alla criminalità.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3