Il 28 febbraio è scattata l’ora X per la NIS2: entro questa scadenza le imprese che rientrano nel perimetro della Direttiva europea “Network and Information Security 2” (che ha aggiornato le norme dell’UE sulla cybersicurezza) si sono dovute qualificare e registrare sulla piattaforma messa a disposizione dall’Agenzia per la Cybersicurezza Nazionale (ACN). Una volta qualificate, le imprese avranno dai nove ai diciotto mesi per adempiere ai vari obblighi della NIS2, tra cui la valutazione delle misure tecniche ed organizzative, l’avvio di programmi di formazione ai dipendenti sulla sicurezza informatica, l’adozione di misure di gestione del rischio e di notifica degli incidenti, nonché l’adeguamento delle misure tecniche di sicurezza risultate non adeguate, come chiarisce Nadia Martini, Partner e avvocato dello studio multidisclipinare Rödl & Partner Italia. La mancata registrazione sul portale ACN o la non compliance comporta delle sanzioni pecuniarie, una vera “spada di Damocle” che pesa sui tanti CIO oberati dal lavoro per l’adeguamento.
“È un avvio un po’ pressante per la NIS2. Questo non fa bene alle imprese e, soprattutto, alle PA, che non hanno grande capacità di fornire una risposta veloce”, osserva Rocco Matricciani, CIO dell’Università dell’Aquila (Univaq). “Poi c’è la preoccupazione per i costi economici, come è già accaduto per l’adeguamento al GDPR”.
I CIO, in generale, approvano l’idea di uno strumento che tutela le aziende e le sensibilizza sugli attacchi cyber. Tante imprese, soprattutto quelle piccole, tendono a sottovalutare il rischio informatico, ma i CIO sono ben consapevoli della gravità dei cyber-attacchi, che bloccano l’operatività e i dati aziendali e impattano sul fatturato e sulla reputazione. Ben venga, dunque, la spinta del regolatore nei confronti delle imprese che non si sono ancora mosse in modo coerente e approfondito sulla sicurezza. Tuttavia, quello che ha messo in affanno i CIO sono le incertezze, a cominciare dalla difficoltà per alcune aziende di capire se rientrassero o no nel perimetro della legge.
