Parliamo di NIS2, una normativa che punta a rafforzare la resilienza delle infrastrutture digitali europee, obbligando enti pubblici e imprese private ad adottare misure di sicurezza sempre più rigorose.

Abbiamo scelto di intervistare Dario Denni (in foto, a sinistra), fondatore di Europio Consulting, agenzia che opera nei settori regolamentari delle telecomunicazioni, del cloud e dell’intelligenza artificiale e che è già intervenuto all’interno dei nostri webinar.

NIS2: 5 domande a Dario Denni

Cosa è cambiato per le imprese italiane con l’introduzione della direttiva NIS2?

L’Italia è per la prima volta avanguardia in Europa in un settore, quello della cybersicurezza. Siamo stati tra i primi a recepire nel nostro ordinamento la NIS2 rispetto a molti Stati europei. Questo fa di noi un Paese che ha problematizzato prima di altri il fenomeno. Probabilmente anche le imprese italiane hanno l’ambizione di porsi con la giusta determinazione rispetto al grande tema della cybersicurezza che ci riguarda molto da vicino. La normativa europea adesso è più chiara, individua settori e sotto settori in maniera più precisa. Anche lato controlli, c’è da sperare in una uniformità applicativa che prima non c’era. Non fosse altro che a presidio di questo percorso di adeguamento, c’è l’autorità preposta ACN,. Questo può aumentare la fiducia anche rispetto ai servizi digitali di cui le aziende si avvantaggiano. Ma sono molti i settori produttivi coinvolti. Quindi l’aspettativa che ci siano ritorni vantaggiosi dalla compliace legata agli adempimenti NIS, è davvero molto alta.

Come può un imprenditore mettersi in regola con la direttiva NIS2?

A oggi siamo in una fase abbastanza avanzata, abbiamo superato il censimento e l’iscrizione alla piattaforma dedicata, predisposta dall’ACN. Ovviamente c’è ancora molto lavoro da fare con l’implementazione delle misure di sicurezza base e la risposta agli attacchi cibernetici. Il sito ufficiale è la fonte più autorevole in assoluto su cui trovare quanto necessario per un perfetto adeguamento NIS. Tutto quello che non c’è, mi piace dirlo, è ancora in formazione. Vuol dire che seguendo le scadenze programmate e pubblicate, un operatore economico obbligato, sia esso essenziale o importante, può facilmente acquisire le informazioni utili e le giuste tempistiche per conformare la sua impresa alla NIS. Non gli è richiesto altro che attenersi a quanto pubblicato con determinazioni ufficiali dall’Autorità e dalle normative.

Molte PMI potrebbero pensare che la NIS2 non le riguardi direttamente. In che modo invece questa direttiva impatta anche sulle aziende più piccole o su quelle apparentemente fuori dai “settori critici”?

Al di là di fattispecie tipiche in cui anche la piccola impresa, se opera in determinati settori, può essere considerata nell’ambito della direttiva come ente essenziale o importante, è opportuno che si valuti il grande passaggio di paradigma che si è compiuto e che segnerà la capacità dell’impresa di rimanere sul mercato. Un mercato che è sempre più composto da catene produttive. È chiaro che così come si dovranno offrire criteri di cybersicurezza adeguati, dovranno per lo stesso motivo essere pretesi anche dai fornitori. In questo contesto, andrebbe valutata la NIS2 anche se il soggetto non è obbligato. Non è sufficiente se si vuole rimanere sul mercato, specialmente in contesti di filiera. Dall’alimentare al digitale passando per l’energia e i mercati a rete. Tutti devono avere quantomeno capito che un incidente di cybersicurezza arreca danni diretti e potenzialmente a terzi. In un contesto come quello attuale, questo comporterebbe la messa a rischio dell’azienda nella sua interezza. Quindi occorre valutare anche il livello di adeguatezza dei fornitori.

Quali aspetti vengono spesso trascurati dalle aziende nel percorso di adeguamento alla NIS2?

È chiaramente un costo per l’azienda avere e rispettare dei protocolli di cybersicurezza, avvalendosi di servizi in grado di garantire un adeguato livello di protezione. Questo principalmente ha reso restii gli imprenditori a investire in cybersecurity. Ma il problema della resistenza all’investimento si supera molto facilmente appena si soffrono le perdite derivanti da un attacco cibernetico. E gli attacchi aumentano in misura esponenziale, anno su anno, colpendo proprio le aziende che sono meno protette. Quindi direi che generalmente c’è la nuova consapevolezza di non voler rimanere indietro perché il rischio è di fatto troppo alto. Proprio come le sanzioni.

Pensa che questa normativa possa aumentare la cultura della sicurezza informatica in Italia?

Si, ne sono convinto. La finalità non è sanzionare ma diffondere una cultura della sicurezza e penso che con l’aiuto di partner tecnologici, specialmente a livello locale, si possa accompagnare questo processo di modernizzazione su tutto il territorio nazionale, anche in Italia. Sta già accadendo perché sono coinvolti attori di diverso tipo. Penso che se il tessuto produttivo italiano è fatto di PMI allora ragionevolmente a loro può rivolgersi un fornitore di servizi italiano e locale che sappia parlare la stessa lingua, avere un’interfaccia e una risoluzione di problemi che un operatore sul mercato globale semplicemente non sa offrire con la stessa accuratezza. Può essere l’occasione anche per favorire uno sviluppo di competenze locali che non mancano, ma che non sembrano adeguatamente distribuite. Anche su questo sono ottimista. È un tema appassionante che sta avvicinando al settore un grande numero di professionisti, anche giovani, che vogliono completare la formazione sul campo, mettendo a terra concrete aspettative che semplicemente prima non c’erano. Questo si traduce in opportunità, anche lavorative. Quindi la cultura digitale accompagna molto bene questi processi che nella loro complessità vengono visti con una veste nuova, non solo tecnica e decisamente più affascinante di prima.

La cybersicurezza è una condizione necessaria per rimanere sul mercato 

Dario Denni ci lascia con una riflessione preziosa: la cybersicurezza non è più un’opzione, ma una condizione abilitante per rimanere sul mercato. Ci conferma – come aveva già fatto durante il webinar – che bisogna affrontare questo tema con un approccio più concreto e consapevole.

In questo contesto, noi di Fìdoka crediamo che il nostro ruolo non sia solo quello di fornire connettività. È per questo che accompagniamo imprese, pubbliche amministrazioni e territori nella costruzione di ecosistemi digitali più sicuri, efficienti e intelligenti.

Lo facciamo attraverso servizi che spaziano dalla cybersicurezza alla gestione degli endpoint (MDR), dallo sviluppo di progetti IoT alla realizzazione di soluzioni per la Smart Land, sempre con l’obiettivo di creare valore concreto, sostenibile e vicino alle reali esigenze di chi vive e lavora nei nostri territori.

La direttiva NIS2 è un punto di partenza importante, perché apre un nuovo capitolo di consapevolezza e responsabilità condivisa.

In questo percorso di adeguamento, noi di Fìdoka supportiamo aziende e pubbliche amministrazioni nella traduzione degli obblighi della NIS2 in scelte operative accessibili, sostenibili e coerenti con il contesto in cui si trovano a operare.

Noi siamo pronti a fare la nostra parte: se vuoi approfondire il tema chiedi una call gratuita per confrontarti con un nostro esperto, cliccando qui.