La NIS 2 è entrata in vigore in Italia il 16 ottobre 2024, a seguito del recepimento tramite il Decreto Legislativo del 4 settembre 2024, n. 138, pubblicato nella Gazzetta Ufficiale il 1° ottobre 2024. Ad oggi i risultati sono contrastanti e sembrano andare in due direzioni opposte.
Il fallimento e l’opportunità
Chi ha pensato, anche solo per un attimo, che la NIS 2 avrebbe risolto la situazione di crisi informatica che affligge molti soggetti pubblici e privati, si è inutilmente illuso. Abbiamo continuato ad avere vittime illustri tra le organizzazioni.
| Data | Target | Categoria | Minaccia |
|---|---|---|---|
| 01/2025 | Conad Società Cooperativa | Filiera alimentare | Lynx |
| 03/2025 | AMA Roma S.p.A. | P.A. | Sconosciuto |
| 04/2025 | Lambert SpA | Chimica | Akira |
| 04/2025 | Tralfo S.r.l. Spedizioni | Logistica | Sarcoma |
La NIS 2, tanto acclamata sui portali, sui social network, sui podcast, non ha risolto il problema di sicurezza informatica che, in realtà, nessuna circolare, direttiva, decreto, legge o buona intenzione può risolvere. La sicurezza informatica richiede fatti concreti e misure oggettive che sono note ormai da oltre un ventennio e che, certamente, non verranno applicate per il solo fatto di essere state scritte all’interno di un decreto legislativo. È un fallimento l’approccio “buonista” che, evidentemente, non sta fornendo i risultati sperati e che non è seguito dai controlli e dalle sanzioni di cui in realtà ci sarebbe bisogno: il recente data breach ai danni dell’azienda Mooney Servizi S.p.A. ne è un chiaro esempio. È un fallimento perché l’approccio buonista si basa sull’idea che le aziende vogliano sinceramente implementare le misure di sicurezza, investendo i capitali necessari per adeguare la propria sicurezza informatica. Forse questo è vero per una percentuale residuale dei casi, perché nella maggioranza delle situazioni, l’approccio è ben diverso: semplicemente si fa finta di niente. Eppure la sicurezza informatica è importante e su questo, almeno concettualmente, siamo tutti d’accordo.
La ricetta del “buon padre di famiglia”, così come era stata presentata anche anni fa pubblicamente dalle istituzioni, non ha funzionato producendo risultati aberranti. Molte aziende, che negli anni si sono fatte carico di dati personali, anche molto delicati, hanno subito data breach che evidenziavano misure di sicurezza per lo più domestiche.
La NIS 2 è, a parer di chi scrive, una grande opportunità; è chiaro a tutti che l’approccio indicato da tale Direttiva si traduce con azioni concrete: bisogna implementare specifiche misure di sicurezza, specifici controlli, specifiche attività di monitoraggio. Per chi intende la sicurezza informatica in modo serio, la Direttiva NIS 2 non racconta nulla di nuovo ma rappresenta certamente un’opportunità per concentrare i propri sforzi sui punti salienti della cybersecurity e fare un’implementazione corretta. C’è da dire che la NIS 2 è tanto concreta quanto lo è stata all’epoca la Circolare 2/2017 che, in quanto a dettagli, disciplina molti aspetti di sicurezza tecnica dei sistemi della P.A. (e non solo). Sono poche le realtà aziendali che, sinceramente, si sono orientate all’implementazioni di tali controlli e alcune lo hanno fatto anche come risposta alla necessità di stipulare una polizza sul cyber-rischio che avesse importi accessibili. La NIS 2 dovrebbe essere, quindi, una vera opportunità per sistemare la propria condizione di cybersecurity eppure secondo l’ANSA…
A marzo si sono registrati in Italia 81 incidenti cyber con impatto confermato, 33 in più rispetto a febbraio: pubblica amministrazione centrale e locale i settori più colpiti. Il dato è contenuto nel report mensile dell’Agenzia per la cybersicurezza nazionale. […] Gli attacchi ransomware (con richiesta di riscatto) sono stati 28. A marzo è stato poi rilevato un incremento del numero di asset potenzialmente compromessi a seguito di un’attività di analisi condotta dal Csirt Italia, organismo dell’Agenzia. [Fonte: “A marzo 81 incidenti cyber in Italia, 28 attacchi ransomware“]
Conclusioni
Viene quindi da chiedersi, a distanza di sette mesi dall’entrata in vigore della Direttiva, come stiamo reagendo alla cybersecurity. Qual è l’atteggiamento delle organizzazioni e dei loro fornitori? Vi è un principio di collaborazione sano e costruttivo nella gestione degli incidenti come, per l’appunto, vorrebbe la NIS 2?
In sostanza, la NIS 2 è stata intesa come un’opportunità da cavalcare consapevolmente o è stata recepita come l’ennesimo adeguamento normativo da ottemperare con il minor numero possibile di sforzi? Ai lettori l’ardua sentenza (che forse tanto ardua non è).
