Parliamo con Matteo Uva, Director of Alliance & Business development, Fortinet, delle sfide e delle opportunità presentate da Nis 2, la nuova direttiva UE sulla sicurezza informatica.
Come la direttiva NIS 2 influenzerà le pratiche di sicurezza informatica nelle aziende?
La Nis 2 dovrebbe essere recepita dai vari dai vari Paesi membri dell’Unione Europea entro il 17 ottobre. È una grande opportunità, e come tutte le grandi opportunità deve essere colta, deve essere compresa e deve esserci quel senso di consapevolezza che qualcosa deve cambiare.
Sono molte le aspettative e c’è tanta curiosità. Innanzitutto, perché Nis 2 porterà delle indicazioni chiare. Fino a ora, nonostante fosse in vigore la Nis 1, quando un’azienda voleva adeguarsi, mancava un orizzonte normativo come punto di riferimento netto e chiaro.
Introduce anche un nuovo modello che sta evolvendo. Si parla tanto di Industry 4.0, 5.0, di digitalizzazione, e nella sostanza il nuovo oro oggi è il dato, che è alla base di una rivoluzione industriale.
La Nis 2 introduce anche modelli di cooperazione tra le aziende e le Istituzioni, che saranno tutte collegate in una sorta di catena digitale dove il livello di sicurezza della catena nel suo insieme è dettato dall’anello più debole quindi. Se tutte queste entità collegate fra di loro hanno un livello di sicurezza certificato l’uno verso l’altro, c’è una garanzia reciproca che l’intera catena sarà sicura.
Con la Nis 2 si estende molto il perimetro delle realtà coinvolte. La Nis 1 interessava settori come telecomunicazioni, energia e altri servizi critici. Oggi include molte altre realtà anche di piccole dimensioni, che fino a oggi non sono state abituate a scontrarsi con sistemi così complessi.
Ai settori che tradizionalmente erano considerati critici come l’energia, i trasporti, le banche e la sanità, ora si aggiungono anche i servizi digitali, le infrastrutture critiche, e le piattaforme social in qualche maniera sono tenute a adeguarsi alla Nis. Per quanto riguarda il tema dell’operatività, questo essere tutti interconnessi in un meccanismo federato di business e di scambio di informazioni, imporrà anche alle pmi di aggiornare la loro postura di sicurezza se vogliono a far parte della catena di fornitori.
Le grandi aziende, insomma, dovranno chiedere ai fornitori, di qualsiasi dimensione siano, di essere certificati e adeguarsi agli standard della Nis due. Perché se un’azienda, piccola o grande che sia, entra in questo sistema, rischia di diventare l’anello debole della catena e di compromettere una collaborazione più estesa. Insomma: le aziende che sono tenute a aderire la Nis avranno anche una certa responsabilità sulla loro supply chain, ed è probabile che andranno a chiedere ai fornitori non proprio certificazione, ma una serie di garanzie.
Molte di queste aziende però sono di dimensioni davvero piccole, soprattutto in Italia. Queste realtà vedono la Nis 2 come una preoccupazione? Oppure non stanno magari dando peso al problema e ci penseranno fra due anni, quando la Nis 2 sarà a tutti gli effetti in azione?
Spesso le aziende più piccole tendono a pensare che, quando ci sono investimenti significativi da fare, il tema non riguardi loro. Però non è così, per i motivi che abbiamo appena spiegato. Se entri a far parte della supply chain sei tenuto a adeguarti, Diciamo che forse la consapevolezza nelle pmi è un pochino più “leggera”. E forse sono un pochino in ritardo nel mettersi a norma. Di contro, saranno i loro stessi clienti che metteranno in chiaro che se vogliono far parte della loro supply chain, allora dovranno adeguarsi.
Un tema molto importante è quello dei fondi disponibili per aiutare le piccole realtà a adeguarsi, come quelli del Pnnr. Insomma, non sarà semplice adeguarsi, perché la complessità rimane. Secondo me però vanno anche sottolineate le opportunità che la Nis 2 porterà ai modelli di business per le aziende di tutte le dimensioni.
Dal punto di vista della complessità, diciamo, cosa andrà a comportare? Molto spesso il problema è quello delle competenze, anche più delle risorse economiche.
Il tema del security skill gap è molto caldo. Sia per noi addetti ai lavori sia per le aziende. C’è un ritardo notevole sul mercato in termini di competenze. Fortinet ha avviato a livello globale, UE inclusa, una serie di iniziative per contribuire alla riduzione di questo gap.
Nel 2021 Fortinet si è impegnata a erogare formazione e certificazioni tramite i propri partner. In maniera gratuita. L’obiettivo è quello di formare un milione di persone entro il 2026. Ad oggi possiamo affermare di essere vicini ad averne formate mezzo milione. Abbiamo anche aderito a un’iniziativa della Commissione Europea mirata a dare formazione a 75mila persone in Europa nei prossimi 3 anni.
Quali sono le altre sfide che invece dovranno affrontare le aziende, indipendentemente dalla loro dimensione, per mettersi in regola con la Nis 2?
Un aspetto chiave, oltre a quello della formazione e delle competenze, è la complessità tecnica. L’adozione di misure di sicurezza avanzate può richiedere l’aggiornamento, in alcuni casi anche la sostituzione, delle infrastrutture tecnologiche esistenti. Sarà necessario effettuare investimenti iniziali. E dovranno essere messi a piano anche dei costi ricorrenti. E sarà necessario anche strutturarsi per monitorare costantemente l’infrastruttura e adeguarla, così da essere in grado di rispondere adeguatamente agli incidenti.
Credo che poi un’altra sfida sarà quella di superare le barriere culturali nei confronti della trasformazione. Alcune aziende, quelle più grandi, magari sono più pronte, più aperte, più preparate sotto tutti i punti di vista cui abbiamo accennato. Altre dovranno aprirsi culturalmente, e non sarà sempre facile. Soprattutto nella Pubblica Amministrazione.
E c’è anche un altro tema: quando la normativa diventerà legge, ci saranno delle penali per chi non è a norma. La prima Nis dava delle indicazioni, ma non prevedeva sanzioni per chi era inadempiente. La Nis 2 introduce delle multe salate.
Tutto quello che devi sapere sulla NIS2
Quali saranno le differenze di implementazione della Nis 2 fra i vari Stati membri?
Non saprei dare delle indicazioni puntuali sugli altri Paesi. Credo che sarà la sensibilità, l’attenzione dei vari governi ad andare a comprendere il proprio tessuto imprenditoriale, a determinare le differenze. In Italia, per esempio, è molto presente la piccola e media impresa. Diverso potrebbe essere in Germania o altri Paesi. L’obiettivo è comunque quello di armonizzare l’approccio fra i vari Paesi con un framework. Poi piccole differenze verranno introdotti da ogni singolo Paese, per adattarsi meglio alle esigenze del territorio, ma non si perderà di vista il framework generale, che rimarrà uguale per tutti. L’idea è armonizzare e favorire la collaborazione.
La direttiva promuove infatti la creazione di reti di cooperazione tra Stati membri, settori e aziende. Collaborazione che hanno l’obiettivo di facilitare la condivisione delle informazioni sulle minacce, sulla vulnerabilità e sulle migliori pratiche per rispondere agli attacchi. Gli Stati membri dovranno anche implementare sistemi standardizzati per la notifica degli incidenti di sicurezza al fine di permettere una risposta più rapida e coordinata a livello europeo. Insomma, la Nis 2 impone che gli Stati membri adottino meccanismi di supervisione ed enforcement che siano uniformi tra di loro. Fra cui l’obbligo di effettuare controlli e audit regolari.
