Direttiva Nis, caos in Europa: ecco la chiarezza che le aziende cercano

La Direttiva NIS2 è entrata a pieno titolo tra i mal di pancia con cui i responsabili della sicurezza informatica delle aziende in perimetro si sono ritrovati a fare i conti: ulteriori incombenze normative si dirà, ma anche ottime opportunità per portare la discussione ad un livello più alto e il tema cyber verso i board, nelle stanze dove di solito i CISO non entrano se non traducono i rischi nel linguaggio del business.

Nis2, il grande caos in Europa

Tra gli addetti ai lavori le chat su NIS2 sono costellate da costanti richieste di confronto, perché sulla piattaforma predisposta dall’Agenzia per la Cybersicurezza Nazionale talvolta compaiono e scompaiono sezioni, parte di quanto già inserito sparisce e poi riappare e la risposta alle migliaia di ticket di supporto non è sempre rapidissima. Si penserà, siamo in Italia, terra di burocrazia, azzeccagarbugli e di tutto ciò che di negativo contraddistingue l’epica del Bel Paese: figuriamoci in altri stati europei, dove tutto fila preciso come un orologio. Ma è davvero così? Oppure per una volta l’Italia è avanti a tutti?

Ci viene in aiuto il white paper dell’European Cyber Security Organisation, datato 10 gennaio 2025, che descrive un quadro europeo purtroppo desolante. A maggio 2025 la Commissione europea ha sollecitato ben 19 Stati Membri su 23 a recepire la Direttiva, dando due mesi di tempo, scaduti proprio in questi giorni. Tra i riceventi il sollecito non figura guarda caso l’Italia – che sappiamo aver recepito NIS2 tramite il D.Lgs 138 dell’ottobre 2024, oltre a Belgio, Croazia e Lituania – ma nomi di peso quali Germania, Francia, Austria, Spagna, etc.

Viene da chiedersi come sia possibile che paesi molto organizzati sul fronte legislativo siano così indietro per NIS2, ma spezziamo una lancia in loro favore e capiamone la motivazione.

I ritardi europei sulla Nis2

Il Legislatore europeo infatti, conscio che NIS1 non ha avuto l’esito auspicato, ha voluto alzare l’asticella con la versione 2.0 ma lo ha fatto a metà. Beninteso, il livello è molto alto perché finalmente si parla di presidi di sicurezza oggettivi, responsabilità degli Organi di Amministrazione, cioè il Board, nella valutazione, approvazione e supervisione della strategia di cybersicurezza, gestione attenta dei supplier in tutte le fasi dall’offerta, all’esercizio e agli audit, impianto documentale con policy e procedure che non rimangono sulla carta ma vanno sostanziate da azioni concrete e da verbali formali, spesso portati all’attenzione dei CDA, senza dimenticare resilienza operativa e segnalazione tempestiva degli incidenti che, ricordiamolo, dovrebbero essere la principale priorità della Direttiva.

Tutte cose che le aziende certificate ISO27001 o ISO22301 già fanno, ma non sono la maggioranza: basti pensare all’Italia stessa, in cui il 99% delle aziende sono PMI – e tante le microimprese con meno di 10 dipendenti – che rappresentano però l’ossatura economica del Paese.

Direttiva Nis2: troppe divergenze tra Paesi

Ecco appunto, una Direttiva (2022/2555) e non un Regolamento come DORA (2022/2554), che è del medesimo periodo e si pone obiettivi simili. La differenza è sottile ma essenziale, perché la prima deve trovare un recepimento per ogni Stato membro, il secondo si applica a tutti i Paesi tout court, senza grandi discussioni o declinazioni come è accaduto per il GDPR nel 2018. Se però possiamo convenire che la protezione dei dati degli individui debba essere uguale per tutti i cittadini dell’Unione, così come la sicurezza nelle attività bancarie, finanziare ed assicurative miri a garantire lo stesso livello di resilienza in Italia, Francia o Germania, sembra che lo stesso non valga rispetto alle aziende in perimetro NIS2 (settori critici quali Energia, Trasporti, Trattamento acque, Gestione rifiuti, Spazio, etc), lasciando discrezionalità agli Stati membri rispetto a molti aspetti non marginali.

Ma non si stava parlando di Unione, di fronte comune contro lo strapotere statunitense in campo digitale e tecnologico, di sviluppo di cloud europei?

Il report Ecso su recepimento Nis2

E’ proprio qui che il white paper dell’ECSO si focalizza su alcuni tratti distonici, tramite takeaways e recommendations puntuali, evidenziando le difficoltà di molte aziende, dalle PMI alle Enterprise, a rapportarsi con la Direttiva, ragion per cui gli stessi Stati stanno ritardandone l’adozione.

Da chiarire che il documento trae origine da una survey ampia ma limitata a 155 aziende di 23 paesi e gli intervistati sono senior manager – direttamente responsabili dell’attuazione della Direttiva – di medie e grandi dimensioni appartenenti a svariati settori, dall’energia, ai trasporti, al manufatturiero, ai servizi ICT e il 66% opera in ambito internazionale.

Le maggiori sfide indicate da questi professionisti sono concentrate nella catena di fornitura (16%), nelle difficoltà d’implementazione transfrontaliera (16%), nel reperimento delle risorse necessarie all’adeguamento (12%), nell’allineamento tra framework e normative differenti (12%) e nella gestione e reporting degli incidenti (10%)

Da qui appunto una serie di rilievi ed indicazioni molto puntuali, che il Legislatore europeo dovrebbe iniziare a valutare se l’obiettivo è quello di una reale efficacia e non mera burocrazia, anche considerati i pesanti risvolti sanzionatori.

Punti chiave e raccomandazioni

🔹Settori a bassa maturità, PMI e nuove entità entrate in perimetro sono costretti ad affrontare un rapido adeguamento, ma dove troveranno le risorse? A quali investimenti, vitali per lo sviluppo del business, dovranno rinunciare?

🔹Le multinazionali devono conformarsi a recepimenti diversi nei vari paesi e riportare gli incidenti a entità nazionali diverse. Ma i vari CSIRT non dovrebbero parlarsi, considerata la possibile portata transfrontaliera degli incidenti?

🔹Diverse le classificazioni, i settori inclusi e le soglie dimensionali, per cui un’azienda potrebbe essere a perimetro NIS2 in uno Stato ma non in un altro!

🔹Difformi anche le tempistiche entro cui le imprese devono dimostrare di essere compliant, da un minimo di un anno fino a due anni, che per le multinazionali significa adeguarsi ai valori più stringenti anche in caso il paese dove risiede l’headquarter abbia definito tempi più rilassati.

🔹Ogni Stato può accettare (ma anche respingere) Framework eterogenei di valutazione dei rischi e non è previsto un riferimento comunemente accettato. Molte aziende si basano su ISO27001 e in Italia ACN propende per il Framework Nazionale per la Cybersecurity e la Data Protection, derivato dal NIST CSF: se uno Stato estero non lo accettasse, sarebbe un investimento buttato alle ortiche per molte realtà italiane o un ulteriore aggravio per mappare il nostro framework su altri standard!

🔹Il reporting non è armonizzato, perché laddove NIS2 prevede la segnalazione entro 24h, alcuni Stati abbassano il timing a 6h. In caso d’incidente, prendiamo innanzitutto la procedura dove sono mappati Stati vs tempi di alerting e vediamo di non sbagliare!

🔹Parlando poi di governance e budget, perché senza soldi stanziati si va poco lontano, il 75% delle aziende dichiara di non averne uno dedicato a NIS2 (non stupisce, spesso non esiste nemmeno quello per Cyber, affogato nel budget IT e primo oggetto dei tagli per saving), mentre il 34% non coinvolge il Board nel programma. Quindi gli Organi di Amministrazione sono all’oscuro dei pesanti risvolti dell’articolo 38?

Passando alle Recommendations suggerite dall’ECSO:

✔️Fornire supporto mirato alle PMI, svantaggiate in termini economici e meno attrattive come recruitment, magari nemmeno a perimetro as is, ma coinvolte facilmente da un soggetto più grande in quanto catena di fornitura: vogliamo ricevere tutte le checklist e le clausole firmate ad occhi chiusi per chiudere il contratto e prendere la commessa, o pensiamo di aiutarle concretamente ad alzare il livello di sicurezza, magari con step concordati di adeguamento?

Si potrebbe pensare, ad esempio, ad una defiscalizzazione delle spese in cybersecurity.

✔️Prevedere template e tempi standard per la segnalazione degli incidenti verso un punto unico di ricezione, cioè comunicazione allo CSIRT nazionale di riferimento che poi inoltri ai suoi pari europei, in modo da dedicare tempo pregiato a velocizzare l’efficacia di analisi, di risposta e di threat intelligence durante l’incidente, che è una fase molto delicata e mal diregisce le distrazioni burocratiche.

9 intervistati su 10 li giudicano un elemento essenziale per supportare l’adeguamento.

✔️Riconoscimento reciproco degli standard di Risk Management e Supply Chain Management e/o creazione di un Framework europeo mappato, ad esempio, sul NIST CSF o su ISO27001, in modo da parlare una lingua comune, salvaguardare gli investimenti già effettuati dalle aziende e semplificare la verifica cross degli Stati vs le multinazionali.

Dare in pasto all’AI una serie di standard e framework per ottenere un output omogeneo, da validare in una commissione superpartes, sarebbe un’operazione relativamente rapida e semplice ed un ottimo punto di partenza.

✔️Creazione di un Hub europeo centralizzato, che fornisca in real time lo stato e le differenze di trasposizione tra i vari Paesi, semplificando gli adempimenti per le imprese, in attesa di definire uno standard comune.

Per imprese che operano in vari Stati membri, la ricerca d’informazioni, spesso in lingua locale, è un’attività time expensive e molto complessa.

A questo aggiungiamo, per guardare ancora più in là: ma se anche i takeaways fossero tutti risolti, le recommendations recepite e i budget illimitati, si riescono a trovare le risorse umane che poi definiscono, implementano e governano il programma di adeguamento? Dove si reperiscono i tecnici, i security manager e i CISO da ingaggiare, se molti paesi sono ancora in forte difficoltà nella formazione o nel reskilling delle figure necessarie? Se poi dall’IT ci spostiamo verso l’iOT, l’OT o l’AI la situazione si complica ulteriormente, perché gli esperti veri sono pochi e da qui un fiorire di pseudo guru, di aziende che promettono l’adeguamento a NIS2 in 5 passaggi e consulenti di intelligenza artificiale che collaboravano con Alan Turing.

Non sorprende, quindi, che l’analisi indichi al 50% il contributo congiunto di personale interno ed esterno, dove facilmente quello dell’azienda governa il programma e relaziona il top management e i consulenti si preoccupano d’implementare le soluzioni e predisporre la parte più formale e documentale.

Se quasi la metà degli intervistati dichiara di gestire tutto dall’interno, resta il dubbio sul 4% che affida tutto all’esterno: o il livello di maturità è altissimo, oppure tutto è in mano ad esterni che si potrebbero sfilare quando qualcosa va storto, o che tengono fuori dall’azienda cliente competenze importanti. In questo quadro non figurano peraltro le piccole e microimprese, che nel momento in cui dovranno adeguarsi non potranno che alimentare quel 4%, a meno che non si riescano ad avviare percorsi di sostegno e di semplificazione concreti, in cui le Autorità si affiancano e guidano, spinti dal fine comune di aumentare la resilienza dei Paesi e contrastare il cybercrime.

Italia, il ruolo chiave dell’Acn per la Nis2

Un’attività di evangelizzazione e supporto importante in Italia la sta promuovendo proprio l’ACN (Agenzia per la Cyber Sicurezza Nazionale), che non solo non si sottrae, ma anzi esorta ed agevola il confronto con le varie associazioni di categoria e col tessuto economico, e partecipa attivamente ad eventi e tavoli settoriali. Guardando però ai risultati dell’ECSO questo non avviene in tutti i paesi: quasi la metà degli intervistati riporta l’assenza di eventi dedicati all’awareness e 1/3 non ha contatti con le rispettive Autorità nazionali rispetto all’implementazione di NIS2.

Uscire dal caos Nis2 con regole chiare

Per ritornare alla provocazione iniziale, Direttiva vs Regolamento – e considerato l’attuale panorama in cui persino adesso, a otto anni dall’entrata in vigore del GDPR, c’è ancora chi chiede cosa sia e a cosa serva una nomina ex Art. 28 – il ragionamento è “bene che sia una Direttiva”, che ci siano spazi d’interpretazione e tempi più dilatati perché non tutte le aziende hanno lo scatto del fuoriclasse, ma portiamo la discussione sui tavoli istituzionali nazionali ed europei, perché altrimenti ci saranno sempre (poche) aziende di serie A e (moltissime) di serie B, che navigheranno a vista. Le grandi aziende hanno tutto l’interesse – per non dire l’obbligo, che si traduce poi in minori rischi e costi per sé stesse – di supportare i propri fornitori, certamente competenti nel loro mestiere ma poco preparati sui temi cyber e normativi.

Ma la responsabilità è dei singoli Paesi e dell’Europa intera, se vuole pensare di contare a livello internazionale, e questo si persegue anche migliorando la comunicazione e l’infosharing tra professionisti cyber, aziende, Autorità e Stati e con la consapevolezza di qual è la platea a cui ci si rivolge.

Le aziende chiedono solo di poter lavorare con linee guida chiare, burocrazia accettabile, standard riconosciuti e supporto centralizzato, in sintesi in modo organizzato, che è peraltro quello che fanno i cyber criminali, che hanno saputo coordinarsi molto prima e molto meglio di noi!

Parallelamente sarebbe opportuno sviluppare un robusto programma di reskilling e di formazione per preparare i futuri professionisti della Security: se i talent garden sono ottimi vivai, non si può lasciare l’onere della cybersicurezza alle singole iniziative – spesso non prive d’interesse e di ritorno nel breve – ma vanno coltivati a livello nazionale e ancor più europeo, valutando l’anti fragilità dei Paesi come spina dorsale dell’economia e della salute dell’Unione, che dev’essere sostanziale e non formale, senza la quale non è possibile pianificare traguardi a 20-30 anni e si rimane nell’ottica miope delle prossime elezioni.

Nel mondo marine si parla di cabotaggio per indicare tratte brevi, spesso all’interno dello stesso Stato. Ecco, è il momento di passare le colonne d’Ercole e guardare al mare aperto, altrimenti continueremo a scrutare l’orizzonte dalle torrette di avvistamento e a difendere le nostre coste dagli attacchi dei pirati, ora informatici.