Se il giorno in cui la NIS 2, che dovrebbe cambiare la faccia della cybersecurity si avvicina (entrerà in vigore il prossimo 16 ottobre 2024 e in Italia è stato appena pubblicato il decreto attuativo di recepimento della Direttiva), è probabile che il momento in cui le organizzazioni europee la metteranno a terra si allontana.
I possibili problemi pratici della NIS 2
Volendo anche mettere da parte la “cattiva volontà” di decine di migliaia di aziende e pubbliche amministrazione che non colgono l’importanza del tema e consentono ai criminali cyber di raderle al suolo sistematicamente. Pensando pure di trascurare l’atroce sospetto che molti hanno della trasformazione del provvedimento in un generatore di carta inutile (a partire dalle migliaia di questionari per il controllo della supply chain). Facendo poi un atto di fede e speranza per cui la nostra Agenzia per la cybersicurezza nazionale abbia la forza e le risorse per svolgere il suo oneroso compito.
Ecco, fatte tutte queste premesse, la norma presenta al suo interno alcuni punti che sono destinati a produrre più di un problema pratico.
I disagi che potrebbero derivare dal tema della giurisdizione
In questa sede mi occupo dei disagi che potrebbero derivare dal tema della giurisdizione.
Sul sito della Commissione Europea, nella pagina dedicata alle FAQ sulla NIS 2 si legge quanto segue “Di norma, i soggetti essenziali e importanti sono considerati sotto la giurisdizione dello Stato membro in cui sono stabiliti. Se l’entità è stabilita in più di uno Stato membro, dovrebbe rientrare nella giurisdizione di ciascuno di tali Stati membri.” La spiegazione di questo assunto è nella natura dei destinatari della norma, che sono gli stessi stati membri e non le organizzazioni private che lo sono in subordine. Quindi in gioco ci sono temi di sicurezza nazionale. In sovrappiù si tratta di un’applicazione del principio di sussidiarietà che mira, come si legge sul sito della UE “a garantire che le decisioni siano adottate a un livello che sia il più vicino possibile al cittadino…”. I destinatari del provvedimento spiegano perché la NIS 2 sia una Direttiva (da recepire con provvedimenti locali) e DORA un regolamento (valido in tutti gli stati e abrogativo di eventuali norme locali) anche se sostanzialmente dicono le stesse cose.
La natura “politica” di NIS 2 e Regolamento Dora
Apriamo un inciso per fare un rilievo sulla natura “politica” delle due norme che in molti punti appaiono sovrapponibili e, per giunta, una fetta significativa degli operatori all’interno del perimetro DORA lo sono anche in quello della NIS 2. Partendo dalla NIS 2, essa appare un provvedimento fortemente orientato ad agire sulle organizzazioni europee che, con grande evidenza, in troppi comparti strategici si sono dimostrate riottose rispetto alla cybersecurity. In buona sostanza quindi si tratta di un intervento normativo che parla ad aziende pubbliche e private del Vecchio Continente.
Al contrario, con DORA la UE sembra rivolgersi all’esterno, che ha preso atto dello scarso o nullo potere contrattuale degli operatori finanziari europei rispetto a soggetti come Microsoft, Google o Amazon. In risposta a questa situazione di sudditanza l’Unione ha pensato di inserire anch’essi tra i soggetti che rientrano nel campo di applicabilità del regolamento. Lo si evince dall’articolo due dove, oltre a quelle che sono definite entità finanziarie, hanno trovato spazio anche i fornitori di servizi TIC. Risultato finale le regole DORA valgono anche per le Big Tech.
Aziende Ue che operano in più Stati: serve un referente in materia di cybersecurity locale
Detto questo, la NIS2 prevede che ogni autorità competente in materia a livello nazionale definisce quali sono gli operatori essenziali e quelli importanti, una situazione che finirà, sono piuttosto convinto, per gettare nello sconforto decine di migliaia di aziende europee, soprattutto quelle di medie dimensioni che operano in più paesi dell’Unione attraverso società controllate. Le ragioni sono più d’una. In primo luogo, sarebbe richiesta la presenza di un referente in materia di cybersecurity locale. Ipotizzare di governare i rapporti con l’autorità locale, rispetto a una norma recepita con un atto governativo del singolo stato, senza un referente esperto della materia presente on site mi sembra un po’ troppo arrogante.
Pensare, poi, di gestire la notifica di un eventuale incidente da remoto mi sembra se non folle, quanto meno complesso.
La gestione centralizzata dei sistemi informatici: le possibili complicazioni
In secondo luogo, è molto probabile che i sistemi informatici, almeno la parte “core”, siano gestiti in modo centralizzato. Una situazione che produce una serie di possibili complicazioni (da professionista della cybersecurity potrei considerarle dei piacevoli effetti collaterali, ma devo essere realista).
La gestione delle misure di sicurezza
La prima riguarda la gestione delle misure di sicurezza richieste per quella specifica entità. Le soluzioni possono essere due: elevare il livello di cybersecurity dell’intera infrastruttura e di tutto il mondo applicativo dell’organizzazione oppure segregare, come fosse un “appestato”, la singola entità. In entrambi casi parliamo di qualcosa di terribilmente complicato e costoso.
La posizione di “fornitore” del controllante sulla controllata
La seconda complicazione è la posizione di “fornitore” del controllante sulla controllata e tutti sanno quanto la Direttiva abbia a cuore il governo della supply chain. Nello specifico si potrebbero generare situazioni paradossali per cui il controllato deve controllare il suo controllore (scusate il gioco di parole).
Il ruolo delle Autorità nazionali
Al centro di tutto questo si pongono inevitabilmente le autorità competenti di ciascuno di questi Stati membri che, come specifica il sito della Commissione Europea, nella pagina dedicata alle FAQ sulla NIS 2, “dovrebbero cooperare, prestarsi reciproca assistenza e, se del caso, svolgere azioni di vigilanza congiunte”. Senza dubbio quel condizionale spaventa e sarebbe stato preferibile un indicativo presente o, ancora meglio, un imperativo. Senza dubbio da domani, ma sarebbe stato meglio da ieri, le diverse agenzie europee incaricate di vigilare dovrebbe iniziare a parlarsi perché, se questa Direttiva deve essere messa a terra in tempi ragionevoli, devono fornire indicazioni precise e in tempi rapidi. In caso contrario forniranno l’ennesima scusa a chi di cybersecurity non ha mai voluto sentirne parlare e preferisce ancora pagare il conto alla criminalità.
