Succede spesso così: un obbligo normativo arriva in calendario, fa un po’ di rumore, poi svanisce come il citofono che squilla alle tre di notte. Lo senti, ti infastidisce, ma convinci te stesso che qualcuno si è sbagliato. Sul fronte NIS 2, molti soggetti essenziali ed importanti stanno facendo esattamente questo: dal 20 novembre si devono aggiornare i propri dati sul portale della nostra Agenzia per la sicurezza cyber , inserire il referente CSIRT, indicarne il sostituto e soprattutto essere certi che entrambi abbiano competenze e conoscenza reale dei propri sistemi. Un adempimento limpido, scritto nero su bianco, ma che la stragrande maggioranza sta trattando come un vecchio promemoria infilato nel cassetto sbagliato.
Per i grandi gruppi il problema si risolve con la naturalezza di chi ha già in casa strutture, organigrammi e competenze. Per le migliaia di PMI italiane, invece, la questione è più simile a un esercizio di equilibrismo. Prima domanda: chi sarà? Non tutti hanno in azienda qualcuno che conosca nel dettaglio il funzionamento dei sistemi, tantomeno un esperto di cybersecurity. Molti dovranno cercarlo oltre le mura aziendali, sperando di trovare qualcuno che non sia soltanto un “tecnico informatico”, ma anche una figura capace di comprendere procedure, continuità operativa e modalità di gestione degli incidenti. Non si tratta di scegliere un nome: si tratta di scegliere una responsabilità.
La seconda domanda è tecnica, ma molto più politica di quanto sembri. Per poter effettuare la notifica e rispondere ai requisiti minimi, non è indispensabile un SOC degno della NASA, ma almeno un sistema di monitoraggio proattivo e una registrazione strutturata dei log. Cose elementari nel 2025, eppure non scontate in un tessuto produttivo dove spesso la sicurezza coincide con l’antivirus preinstallato e qualche password cambiata “quando è proprio necessario”. Qui si vede la frattura fondamentale: l’Italia economica, dominante per creatività e resilienza, sembra allergica alla cultura del controllo, e la tecnologia non perdona questa allergia.
La verità è che la NIS 2 non arriva a sorpresa. Da tre anni tutti sanno come sarebbe finita: un Paese con un’Agenzia che spinge – forse troppo velocemente – verso standard europei robusti, e un sistema produttivo che continua a rimandare, come se il tempo fosse un elastico e non un filo che si assottiglia ogni giorno di più. La sensazione è quella del tentativo di fare un salto dalle stalle alle stelle nello spazio di un respiro. Ambizioso, necessario, eppure incolmabile senza una preparazione lunga e costante.
Qui non c’è moralismo, ma meccanica organizzativa: se non vedi il pericolo, non ti prepari; se non ti prepari, lo subisci; se lo subisci, ti fa male. Le norme, in fondo, servono a mettere in chiaro ciò che dovrebbe essere ovvio, ma che i più rifiutano: conoscere quello che gestisci, e sapere cosa fare quando qualcosa va storto. Semplice in teoria, molto meno nella pratica.
Eppure, anche questa volta, ripetiamo il rito nazionale del “rinvio”: si attende l’ultimo minuto, poi si corre, si rimedia, si cerca di salvare il salvabile con l’urgenza di chi tratta l’emergenza come una forma di identità culturale. A voler essere onesti, questa non è neppure più procrastinazione: è una sorta di scaramanzia collettiva, come se rinviare un obbligo potesse renderlo meno reale.
Alla fine, la NIS 2 non è la questione. La questione è che molti hanno ancora il paracadute nello zaino, ma non lo aprono, convinti che il terreno si allontanerà da solo. Invece, come sempre, accade il contrario.