Da qualche settimana ricevo una specifica domanda da molte organizzazioni pubbliche e private e suona più o meno in questo modo: “la mia azienda rientrerà nel campo di applicazione della NIS 2?”. La risposta, pur con un certo margine di incertezza (poco) è quasi sempre sì, e ha delle implicazioni interessanti. Ma facciamo un piccolo passo indietro per i miei lettori non professionisti cyber: cos’è la NIS 2?

Si tratta di una direttiva europea che impone un livello minimo di sicurezza cibernetica a diverse organizzazioni che operano in molteplici settori, approvata dalla UE a fine 2022. Non riporto l’elenco completo dei comparti economici coinvolti per non tediarvi, però posso darvi una dimensione della questione riportando un dialogo che ho avuto con un collega tedesco. Trattandosi di una Direttiva ogni stato dovrà recepirla con un’apposita legge e stavamo facendo delle ipotesi su quante organizzazioni saranno direttamente soggette agli obblighi previsti. A suo avviso in Germania potrebbero essere almeno ventimila; da parte mia spiegavo che essendo in Italia prevalenti le piccole imprese (la Direttiva esclude le organizzazioni con meno di 10 milioni di ricavi e meno di 5 addetti) forse saranno meno, ma non di molto. Poi ci siamo guardati in faccia e ci siamo fatti una mezza risata.

Vi domanderete perché. Per la semplice ragione che la direttiva prevede che i soggetti individuati garantiscano la sicurezza della catena di approvvigionamento. Questo significa che, se anche l’azienda non è nel campo di applicazione della norma, lo sarà indirettamente in quanto fornitore, e questo coinvolgerà altre decine di migliaia di imprese senza riguardo delle dimensioni. A quel punto la domanda da cui sono partito e che molti si pongono è probabilmente sbagliata o, per meglio, dire superflua. Forse sarebbe più corretto chiedersi cosa ha fatto fino ad oggi la mia organizzazione in materia di sicurezza cyber perché, tra qualche mese, qualcuno, che sia l’Agenzia Nazionale di Cibersicurezza o un mio importante cliente, verrà a chiedermi conto proprio di questo. Come è già successo per la protezione dei dati personale, quello che le aziende e le pubbliche amministrazioni non hanno capito ieri, non gli sarà più spiegato domani.

Una legge richiede di essere semplicemente applicata e non ammette ignoranza. Forse questa volta il vento è cambiato.