Il 28 febbraio è scattata l’ora X per la NIS2: entro questa scadenza le imprese che rientrano nel perimetro della Direttiva europea “Network and Information Security 2” (che ha aggiornato le norme dell’UE sulla cybersicurezza) si sono dovute qualificare e registrare sulla piattaforma messa a disposizione dall’Agenzia per la Cybersicurezza Nazionale (ACN). Una volta qualificate, le imprese avranno dai nove ai diciotto mesi per adempiere ai vari obblighi della NIS2, tra cui la valutazione delle misure tecniche ed organizzative, l’avvio di programmi di formazione ai dipendenti sulla sicurezza informatica, l’adozione di misure di gestione del rischio e di notifica degli incidenti, nonché l’adeguamento delle misure tecniche di sicurezza risultate non adeguate, come chiarisce Nadia Martini, Partner e avvocato dello studio multidisclipinare Rödl & Partner Italia. La mancata registrazione sul portale ACN o la non compliance comporta delle sanzioni pecuniarie, una vera “spada di Damocle” che pesa sui tanti CIO oberati dal lavoro per l’adeguamento.
“È un avvio un po’ pressante per la NIS2. Questo non fa bene alle imprese e, soprattutto, alle PA, che non hanno grande capacità di fornire una risposta veloce”, osserva Rocco Matricciani, CIO dell’Università dell’Aquila (Univaq). “Poi c’è la preoccupazione per i costi economici, come è già accaduto per l’adeguamento al GDPR”.
I CIO, in generale, approvano l’idea di uno strumento che tutela le aziende e le sensibilizza sugli attacchi cyber. Tante imprese, soprattutto quelle piccole, tendono a sottovalutare il rischio informatico, ma i CIO sono ben consapevoli della gravità dei cyber-attacchi, che bloccano l’operatività e i dati aziendali e impattano sul fatturato e sulla reputazione. Ben venga, dunque, la spinta del regolatore nei confronti delle imprese che non si sono ancora mosse in modo coerente e approfondito sulla sicurezza. Tuttavia, quello che ha messo in affanno i CIO sono le incertezze, a cominciare dalla difficoltà per alcune aziende di capire se rientrassero o no nel perimetro della legge.
“Le regole emesse sono state confuse e complesse, complicate ancor più dall’ACN con le sue FAQ di interpretazione”, afferma l’Avv. Martini.
Teoricamente la NIS2 è una norma chiara. Si applica alle organizzazioni di medie e grandi dimensioni che operano in 18 settori considerati essenziali per il funzionamento della società e dell’economia per oltre 80 tipologie di soggetti (come energia, trasporti, sanità, spazio, digitale, cloud, data center, produzione e tanti altri ancora). Molte imprese hanno letto i settori di applicazione e hanno, anche giustamente, dedotto di essere fuori dal perimetro.
“Tuttavia, successivi approfondimenti sulle definizioni hanno generato molti dubbi”, evidenzia Claudio Telmon, Senior Partner – Information & Cyber Security di P4I-Partners4Innovation. “Di risposta, l’ACN ha pubblicato una lunga lista di domande e risposte che hanno in parte chiarito le idee alle imprese, ma che sono a loro volta un documento corposo e, comunque, sono arrivate a ridosso della scadenza del 28 febbraio. È possibile che alla fine debbano iscriversi molte più organizzazioni del previsto; infatti, già nelle scorse settimane il portale ACN è andato in sovraccarico di richieste. Probabilmente alcune hanno mancato la deadline”.
D’altro lato, qualche impresa potrebbe essersi mossa tardi. Alcune hanno erroneamente percepito la NIS2 “come una normativa di nicchia, disciplinante aspetti tecnici, quando invece regola la governance e la postura cyber di un’organizzazione”, spiega l’avv. Martini.
In Italia solo il 61% delle imprese sta compiendo un cammino strutturato verso la NIS2, ha rilevato l’Osservatorio sulla Cybersicurezza (iniziativa promossa dall’Angi, in collaborazione con Tinexta Cyber con l’alto patrocinio degli Uffici del Parlamento Europeo in Italia e di Assintel Confcommercio). Mancano la visione d’insieme e le azioni nelle aree chiave della gestione del rischio, della formazione del personale e del coinvolgimento di ogni livello aziendale, top manager inclusi.
È il momento, dunque, di premere sull’acceleratore.
Per i CIO super lavoro ma anche opportunità
Ovviamente non tutti i CIO hanno sottovalutato la NIS2 o si sono mossi in ritardo sulla cybersicurezza: anzi, molti stavano lavorando, e continuano a farlo, sulla postura di sicurezza. Matricciani di Univaq è tra questi: l’Università ha aumentato negli anni la spesa per la cybersecurity e ha persino valutato il percorso delle certificazioni per la sicurezza ISO 27001, che sono propedeutiche, in molte prescrizioni, agli adempimenti della NIS2.
La norma, tuttavia, spinge a fare un passo in avanti e può creare delle complessità e dei rallentamenti nell’operatività quotidiana. Per esempio, per Matricciani una delle strategie chiave della cybersecurity è la separazione del perimetro dei sistemi core rispetto a quello delle attività di ricerca; a queste ultime è stata concessa in passato una gestione meno severa. Ma ora, con la NIS2, occorre alzare le cyber-barriere e qui nasce la difficoltà.
“Nella ricerca non è facile stabilire delle misure di sicurezza universali. Alcune applicazioni software per il mondo della ricerca vengono sviluppate come prototipi e sono tali per definizione, perché servono per sperimentare, e non è semplice verificarne i livelli di sicurezza in base a precisi standard”, spiega Matricciani. “Sui software per la ricerca dobbiamo, dunque, creare un framework di sicurezza in casa e l’impatto sulla nostra capacità operativa è forte. Spero nell’evoluzione dei servizi forniti dai nostri partner. Certo, poi c’è anche la necessità di un cambiamento di tipo culturale e anche questo sarà un percorso faticoso. La NIS2 implicherà molto lavoro”.
Ma c’è anche l’opportunità: per effetto della compliance con la NIS2, Univaq sta valutando l’attivazione di un SOC che garantirà assistenza in tutti i giorni e in tutte le fasce orarie.
“Il SOC è fondamentale perché svolge un monitoraggio continuo con possibilità di intervento 24 ore su 24”, sottolinea Matricciani. “Stiamo anche rafforzando le misure di gestione degli accessi, migrando tutti gli utenti sulla MFA. Nonostante le sfide operative iniziali, l’adeguamento alla NIS2 offre l’opportunità di rafforzare la resilienza e la sicurezza dell’Ateneo, creando un ambiente digitale più affidabile e protetto per tutti i nostri utenti”.
L’impatto sull’operatività e l’importanza del CISO
L’impatto della compliance sull’operatività quotidiana ha impensierito molti CIO, che si vedono sottratte risorse importanti (tempo, persone e, a volte, budget). Alcune aziende hanno risolto separando i compiti di adeguamento da quelli operativi e affidando i primi al Chief Information Security Officer (CISO).
“Per me è fondamentale che nella nostra azienda ci sia un CISO”, dichiara Lucio D’Accolti, CIO di AMA Roma (la società in house che gestisce per conto dell’ente Roma Capitale, suo socio unico, la raccolta, il trattamento e lo smaltimento dei rifiuti solidi urbani, l’espletamento dei servizi cimiteriali e la nettezza urbana nel territorio di Roma). “Come Chief Information Officer alle prese con l’operatività, non avrei tempo e persone da dedicare all’adeguamento alla NIS2 o alle attività di reazione ed eventuale notifica di incidenti. Il nostro CISO è separato dalla parte operativa, anche se collabora strettamente con me e le altre funzioni, e si può dedicare a questi compiti, che sono complessi anche dal punto di vista burocratico. Se me ne dovessi occupare io, avremmo impatti sulla produttività”.
AMA rientra totalmente nel perimetro della NIS2 come soggetto “importante”: anche l’assenza di incertezze da questo punto di vista ha aiutato a organizzarsi per tempo con un manager e una funzione interna che tengono le redini della cybersicurezza.
“Possiamo pure non chiamarlo CISO, ma deve esserci una struttura preposta, almeno per le aziende di grandi dimensioni e con importanza nazionale strategica, anche perché questo permette di dedicare un budget separato e ben definito alla cybersicurezza e assicura l’assunzione di responsabilità da parte del top management”, precisa D’Accolti.
La NIS2, infatti, ha ribadito che la cybersecurity non è solo compito del CIO e del CISO, ma dell’azienda: sono i dirigenti a dover avere consapevolezza e competenze in ambito cyber. La Direttiva istituisce, inoltre, la nuova figura del referente per la sicurezza, che deve interagire con ACN e necessariamente riportare alla dirigenza. In AMA anche il CIO e il CISO riportano al Direttore Generale, ma tante altre aziende hanno dovuto procedere a una riorganizzazione interna.
Una postura di sicurezza più robusta
“Il CISO è fondamentale perché è la figura più opportuna per occuparsi degli aspetti di adeguamento, che non spettano solo ai sistemi informativi, ma all’area della gestione del rischio aziendale”, sottolinea Telmon di P4I. “Detto questo, è chiaro che per molte imprese avere la figura dedicata del CISO non è possibile e si tende ad accorpare questo ruolo in quello del CIO o direttore dell’IT”.
Ma il CISO porta senz’altro un punto di vista diverso sulla NIS2 e aiuta a trarre vantaggio dalla normativa. Alessio Antolini, CISO e DPO di AMA, considera la NIS2 “un’opportunità, perché offre una serie di prescrizioni sulla postura di sicurezza che dovrebbe essere adottata dalle organizzazioni e che rappresenta la normalità per qualunque azienda digitale che espone i suoi servizi online. La difficoltà che esiste da sempre è che la sicurezza non è vista come asset, ma come costo: le aziende se ne occupano perché costrette oppure come reazione a un attacco o per prevenire un incidente di sicurezza. Non lo fanno come strategia”.
Anche gli enti pubblici hanno ormai tantissimi punti di contatto digitale, sia nelle operazioni core che non core, ma – commenta Antolini – spesso le attività per la resilienza sono percepite come costi. L’arrivo di una normativa dedicata ha il beneficio di alzare la consapevolezza e spingere all’adeguamento.
“Dobbiamo vivere nel presente dell’informatica, che è fatta anche di minacce cyber contro cui bisogna innalzare dei baluardi”, aggiunge Antolini. “La NIS2 è come un GDPR per la sicurezza, e non è un’opzione. Rappresenta ciò che ogni azienda dovrebbe fare sulla cybersecurity: per esempio, saper individuare una minaccia latente nei sistemi o una situazione near miss e avere un approccio non solo reattivo ma programmatico, in cui non ci si limita ad avere gli strumenti per reagire a un incidente, ma si è in grado di anticiparlo”.
La complessità, secondo Antolini, entra in gioco quando in un’organizzazione si è creato un gap, ovvero una distanza tra quella che dovrebbe essere la postura di sicurezza e quella che effettivamente è: allora si registrano l’affanno per l’adeguamento, il super lavoro, la moltiplicazione dei costi.
NIS2, quanto costa?
Certo, i costi sono oggettivi. Lo stesso Antolini evidenziache il budget per la cybersecurity di AMA è dovuto aumentare per effetto dell’adeguamento ai requisiti della NIS2: “Abbiamo dovuto fare tanti investimenti, per esempio per il rafforzamento dei sistemi e per avere il numero adeguato di persone che li gestiscono e che seguono le procedure”, dichiara il CISO di AMA. “La NIS2, infatti, prevede l’obbligo delle segnalazioni entro una precisa finestra di tempo e questa velocità richiede persone preposte. Poi c’è la parte di controllo della filiera, spesso veicolo di incidenti, e questo impatta non solo il CIO e il CISO ma gli uffici gare, acquisti, e così via. Anche la verifica dei requisiti e il monitoraggio delle terze parti richiedono lavoro, ovvero persone”.
La spesa, dunque, è innegabile e aumenta di pari passo con le dimensioni aziendali. Inoltre, si compone sia di una parte iniziale, ovvero gli investimenti per portarsi alla conformità, sia di una parte ricorrente, per mantenere la compliance. Gli esperti parlano di una spesa nell’ordine dei 100-500mila euro che arriva fino a 1 milione per le imprese più grandi. Ed esclude i normali costi di sicurezza IT.
C’è anche l’elemento della burocrazia che appesantisce il lavoro dei CIO. Alcuni manager descrivono la NIS2 come una “sovrastruttura”: obbliga a precise procedure che si traducono in “tanta carta e tanti soldi che si sarebbero potuti investire in vera sicurezza”.
Qualcuno obietta: “Avevamo già investito in cybersecurity ed eravamo virtualmente compliant. Ma ora tutte le attività di formazione, le simulazioni e le procedure vanno documentate in un modo definito e questo crea burocrazia”.
Per alcuni CIO la compliance è più facile
Ci sono dei CIO che hanno trovato relativamente semplice la conformità alla NIS2: quelli che hanno lavorato per la certificazione ISO/IEC 27001:2022, sia che siano rimasti alla fase di preparazione sia che si siano effettivamente certificati. Chi ha la certificazione riferisce di essersi ritrovato con “l’80% del lavoro fatto”: l’azienda è pronta dal punto di vista delle dotazioni di cybersicurezza, le persone sono formate e il management è allineato. A quel punto innestare il lavoro per la conformità alla NIS2 è quasi naturale.
È questa l’esperienza di Matteo Mutti, CTO di Promotica (agenzia loyalty specializzata nella realizzazione di soluzioni marketing atte ad aumentare le vendite, la fidelizzazione e la brand advocacy quotata su Euronext Growth Milan).
“Abbiamo scelto la certificazione ISO/IEC 27001:2022 per garantire un approccio strutturato alla gestione della sicurezza delle informazioni. Questo standard ci consente di garantire una corretta gestione dei dati sensibili, migliorare la nostra reputazione e soddisfare le richieste dei clienti riguardo alla sicurezza. Certificarsi ISO 27001 aiuta anche a conformarsi alle normative vigenti, come il GDPR e la NIS2, riducendo il rischio di sanzioni e rendendo l’azienda più pronta ad affrontare le nuove sfide del mercato”, afferma Mutti.
L’essenziale è coinvolgere tutta l’organizzazione. “I diversi uffici, oberati dal lavoro quotidiano, trovano difficile appoggiare la richiesta di uno sforzo aggiuntivo”, evidenzia Mutti. “È importante, quindi, che questo percorso sia organizzato coinvolgendo tutte le aree operative interessate affinché percepiscano l’opportunità, tramite la definizione delle procedure, di rivedere e migliorare i processi aziendali”.
Anche per i CIO delle aziende dei mercati regolati la compliance è stata meno problematica. Accade, per esempio, nella sanità.
“Molto dipende da quanto si è strutturati e si deve aderire a norme di settore, come avviene con la normativa sanitaria o il modello organizzativo 231”, afferma Fabrizio Alampi, Country Information Officer presso Colisée Italia (parte dell’omonimo gruppo francese, società con missione sociale che opera nell’healthcare per la terza età in Europa). “Per noi la NIS2 è stata indoloreperché ci ha già trovati compliant al 95% grazie al percorso che avevamo svolto in precedenza”.
Secondo Alampi ciò che mette in difficoltà i CIO e le imprese è occuparsi di cybersicurezza solo perché lo impone la NIS2, o un’altra legge; invece, se si è impostata in origine un’efficace strategia di cybersecurity, la compliance viene da sé.
È quanto ribadisce Marco Foracchia, CIO di AUSL (Azienda Unità Sanitaria Locale) di Reggio Emilia.
“La cybersicurezza è uno dei temi caldi del momento, molto legato alle sfide attuali della sanità che diventa distribuita, territoriale”, dichiara il manager. “Questa evoluzione ci ha portato a un nuovo approccio di ecosistema in cui la sicurezza deve applicarsi anche oltre il perimetro aziendale verso strutture e dispositivi terzi, come le cliniche private, le residenze per anziani, le società no profit, le case stesse dei cittadini. Questo richiede un forte dialogo con i partner e il monitoraggio della filiera, e la NIS2 si è inserita in modo quasi naturale in questo processo già in atto. La metodologia che la NIS2 impone è in linea con quello che avremmo comunque dovuto fare. Il nuovo assetto di sicurezza aperto è più rischioso e sicuramente le linee guida della NIS2 aiutano”.
L’approccio di Foracchia è stato quello di affidarsi a partner tecnologici per avere soluzioni software che incorporano la sicurezza by design, come già fatto per il GDPR con la privacy by design: “I temi sono diversi, ma l’approccio è simile, bisogna pensarci fin dall’inizio, sia sul piano tecnologico che organizzativo”.
La prossima tappa della cybersicurezza: i talenti
Ovunque si trovino oggi le imprese, occorre andare avanti sul cammino della compliance e fare di necessità virtù. Come affermano molti CIO, la NIS2 va vista come un’opportunità per mettersi in linea con gli standard di sicurezza ormai imprescindibili. Una volta risolta la questione delle registrazioni sul portale ACN, l’Agenzia dovrà pubblicare gli obblighi di base per le aziende nel perimetro e per CIO e CISO dovrebbe essere più chiaro che cosa fare per adeguarsi di qui alla fine del 2026.
Quanto a costi e burocrazia, non è detto che continuino a lievitare. Come chiarisce Telmon: “L’entità degli investimenti per le aziende dipenderà dal livello di maturità sulla cybersicurezza che hanno e da quanto questi obblighi saranno impegnativi. Le aziende già con una sufficiente maturità non dovranno investire tanto in tecnologie. Tuttavia, dovranno dedicare grande impegno alla revisione della loro organizzazione e alla formazione o attrazione delle competenze di cybersecurity, che sono quanto mai necessarie ma non ampiamente disponibili”.
I CIO lo sanno: le competenze sono un punto debole del mercato. Se le tecnologie abbondano, gli specialisti IT scarseggiano.
“Le grandi imprese dovranno andare a caccia di talenti, forse anche assumere”, afferma Telmon. “Le medie imprese dovranno trovare il modo di accedere alle competenze di qualità senza gravare troppo sul budget, e sarà una vera sfida. Spesso competenze così verticali si trovano più facilmente nella consulenza, soprattutto per le PMI che non hanno spazio per assumere a tempo pieno figure così specializzate. Sarebbe anche utile che si muovessero le associazioni di settore per aiutare le medie imprese, perché nei settori verticali le competenze richieste sono simili e le PMI trarrebbero grande vantaggio dal fare sinergia, anche tra concorrenti”.
Una sfida nella sfida, ma davvero prioritaria per i CIO: secondo i più recenti studi di IDC, la crescente complessità normativa sarà al cuore del lavoro dei CIO nei prossimi mesi.