L’Italia è uno dei pochi Paesi che hanno recepito completamente la direttiva nella legge nazionale. Il nostro Paese si è mosso tempestivamente, dimostrando un forte impegno verso la sicurezza informatica. Secondo il report diversi fattori potrebbero aver contribuito a questo ritardo diffuso. Ecco quali.
La NIS2 è una direttiva complessa con un’ampia portata, che richiede modifiche significative alle leggi e ai regolamenti nazionali. Il processo di recepimento può richiedere tempo e risorse significative da parte degli Stati membri, con la necessità di coordinare diversi ministeri e agenzie.
Temi al centro del panel conclusivo dal titolo “NIS2, il primo bilancio delle istituzioni e delle imprese” della prima giornata del “CyberSec205. AI, Crittografia Post-Quantum, Spionaggio e Geopolitica: il nuovo mondo della Cybersecurity”, Conferenza internazionale di Roma promossa e organizzata dal giornale Cybersecurity Italia, giunta alla sua quarta edizione.
“Le aziende stanno ancora cercando di capire come procedere. Quello che ci interessa è comprendere il dopo ed essere più pragmatici. Ci si chiede, quali sono le regole da mettere in campo? La parte di risk management è fondamentale, ma allo stesso tempo è un settore troppo ampio, la richiesta che arriva dalle imprese è capire quali sono le azioni pratiche da compiere. Ci deve essere una linea guida, meno formalità, ma azioni concrete in un perimetro NIS unico. Rimanere vaghi su questo è un problema, si rischia di dover creare soluzioni di sicurezza su misura per ogni cliente. La pragmaticità aiuta le aziende a costruire il perimetro”, ha spiegato Gerardo Costabile, Executive Vice President di Dinova.
“La scorsa settimana si è avuto il rush finale sul quale abbiamo aiutato i nostri clienti. Guardando la normativa e quel che è successo sul campo, ciò che ha creato scompiglio è che il percorso così come è stato disegnato è andato ad incidere su imprese che non sono abituate a gestire determinati ambiti, sistemi di controllo e governance, sollevando criticità. Questo comunque va a coprire una carenza che evidentemente c’era. Avevamo diversi settori e un intero tessuto industriale fondamentale che non doveva rispondere ad una serie di normative e di conseguenza si era indietro dal punto di vista della sicurezza, la normativa sta aiutando a fare dei passi in avanti”, ha affermato Enrico Ferretti, Managing Director di Protiviti.
“Stiamo costruendo un binario per un treno che corre veloce. Rispetto alla consapevolezza del mercato, vediamo oggi quelli che saranno i futuri impatti della norma dal punto di vista di processo e tecnologico. È la prima norma che ha fatto prendere l’ascensore alla sicurezza informatica, non più quindi un tema esclusivamente tecnologico, non più in mano solo allo specialista IT ma anche ai board aziendali. Ci aspettiamo un sempre maggiore coinvolgimento dei grandi player che hanno una missione importante, di dover trascinare i loro supplier”, ha sottolineato Alessandro Manfredini, Direttore, Group Security e Cyber Defence, Gruppo A2A e Presidente, AIPSA ETS.
“Il bilancio di questa prima fase ha diversi lati positivi. La tematica e la sua importanza sono venute a galla. Sono emersi ad esempio dei codici Ateco, che erano poco conosciuti. Un’esperienza di tipo startup per un sistema che veniva per la prima volta utilizzato. Se non si fa tutto in un certo lasso di tempo c’è il pericolo delle sanzioni. Ci sono degli skills che vanno sviluppati. Ci sono migliaia di aziende registrate ma molte di queste non hanno dei Ciso ancora. Bisogna tenerne conto, molte di queste non sono consapevoli. Ci sono delle attività di governance da svolgere. Dobbiamo cercare puntare dritto all’obiettivo, bisogna aiutare i soggetti a fare sicurezza. Alcuni sono coscienti sul da farsi, altri andranno accompagnati a partire da zero. C’è tanto da fare nella supply chain, in quanto fornitore di una struttura critica. Ci sono i recepimenti NIS in altri Paesi e quando arriveranno ad esempio la Spagna e la Francia, ci potrebbero essere ulteriori criticità. Anche su questo ritengo sarà fondamentale l’aiuto dell’ACN”, ha detto Yuri Rassega, CISO, Enel Group e Presidente di Associso.
