Il 17 gennaio 2023 è entrata in vigore la direttiva NIS2, che stabilisce una serie di requisiti principali che le organizzazioni devono soddisfare per garantire un elevato livello di cybersicurezza. La direttiva, inevitabilmente, impatterà sulle aziende che avranno tempo fino al 17 ottobre 2024 per adeguarsi.
E, in merito allo schema di decreto legislativo recante recepimento della direttiva (UE) 2022/2555 relativa alle misure per un livello comune elevato di cybersicurezza nell’Unione Europea, il NIS2 appunto, Deloitte ha redatto una memoria richiesta dalla IX Commissione (Trasporti, Poste e Telecomunicazioni) della Camera dei Deputati, dalla quale emerge la seguente considerazione: è cruciale ispirarsi a principi di consistenza, comparabilità, proporzionalità, gradualità, flessibilità e priorità per assicurare un equilibrio tra gli obiettivi di cybersicurezza nazionali e gli oneri finanziari, amministrativi e tecnici richiesti alle imprese.
I principi di Deloitte per raggiungere gli obiettivi di cybersicurezza richiesti dalla direttiva NIS2
I principi indicati da Deloitte puntano all’applicazione uniforme delle misure di cybersicurezza richieste dalla direttiva NIS2 alle imprese in linea con i Framework precedentemente adottati (consistenza); all’estensione di differenziazione per obblighi secondo ulteriori criteri come settori, sottosettori o categorie di soggetti (proporzionalità); all’adozione progressiva delle misure, inizialmente focalizzata sui sistemi, reti e servizi critici, estendendosi poi al resto dell’organizzazione (gradualità); alla possibilità per le imprese di adottare metodologie e approcci propri consolidati nel tempo per gestire la criticità dei sistemi e modulare di conseguenza l’adozione delle misure di sicurezza (flessibilità attuativa); a definire infine i tempi di recepimento differenziati, in relazione alla criticità delle risorse informatiche o dei servizi in ambito (priorità).
Una loro auspicabile applicazione implicherebbe un beneficio in termini di conseguimento degli obiettivi di cybersicurezza bilanciati con gli impegni richiesti alle imprese, valorizzando le strategie e i programmi messi in atto dalle imprese negli anni passati, evitando di imporre un onere finanziario/amministrativo aggiuntivo a quanto già previsto.
Un innalzamento dei livelli di cybersicurezza porterà una maggiore resilienza
Oltre ai principi, la memoria sottolinea l’importanza di incentivare le imprese, semplificare gli obblighi di registrazione e le attività ispettive, nonché di armonizzare a livello europeo le modalità di adozione delle misure di sicurezza e di notifica degli incidenti imposte dalla NIS2.
La Direttiva NIS2 mira a garantire la sicurezza in tutti i settori strategici della nostra economia e società, come Energia, Trasporti, Infrastrutture dei Mercati Finanziari, Acqua Potabile, Sanitario, Bancario, Infrastrutture Digitali, fornitori di Servizi Digitali a cui sono aggiunti nuovi settori come Spazio, Gestione dei Servizi TIC, Acque Reflue, Chimico, Fabbricazione, Alimentare, Servizi Postali e di Corriere, Gestione dei Rifiuti e Ricerca.
Sono decine di migliaia le imprese italiane che potrebbero essere potenzialmente impattate. Tutto ciò rappresenta una sfida, ma anche un’opportunità per avviare o proseguire nel percorso di innalzamento dei livelli di Cybersicurezza delle singole imprese, fondamentale per la resilienza e lo sviluppo digitale, economico e sociale del nostro paese.
Conclusioni
Deloitte ringrazia il presidente della Commissione e i suoi membri per avere richiesto e tenuto in considerazione il punto di vista dei suoi esperti di Cyber Security. La Cyber Security è tra i temi portanti della strategia di Deloitte Italia, che ha redatto la memoria sulla base dell’esperienza maturata nel corso degli anni al fianco di istituzioni, aziende pubbliche e private.
