La direttiva NIS2 è, come si usa dire, sia un problema sia una opportunità: da un lato è certamente un problema, piccolo o grande, per le imprese che devono implementarla, dall’altro rappresenta una opportunità di business importante per gli operatori che le affiancano in questo processo. Il quale va comunque visto in un’ottica positiva, che forse diventa più chiara e comprensibile se si considera – spiega Alessandro Cecchetti, Socio e General Manager di Colin & Partners – il lungo percorso che la UE sta seguendo per aumentare la resilienza delle imprese europee. “Tutto parte dal GDPR, una norma fondamentale perché ha introdotto il concetto della data protection, quindi della protezione del dato all'interno di una infrastruttura IT. La NIS2 fa un passo ulteriore e si concentra sugli organi amministrativi e direttivi elle imprese: punta a una precisa consapevolezza e responsabilizzazione dei Consigli di Amministrazione, anche facendo ricadere su di essi le sanzioni che derivano dalla mancata compliance alla norma”, sottolinea Cecchetti.

Ovviamente non si pretende che il top management aziendale diventi un gruppo di esperti di cybersecurity e decida come concretamente implementare le misure di sicurezza IT e protezione dei dati. Quello è sempre il lavoro dei CIO e dei CISO. La normativa vuole però, come ha precisato anche l’Agenzia per la Cybersicurezza Nazionale, che i CdA siano consapevoli del profilo di rischio della loro impresa e prendano decisioni di conseguenza, in particolare definendo gli opportuni investimenti in soluzioni per la sicurezza cyber e approvando le iniziative collegate. Ignorare le questioni cyber, insomma, non solo non è una scusante ma non è nemmeno più ammesso, e le sanzioni sono severe: da quelle pecuniarie alla interdizione dalle funzioni direttive fino alla sospensione delle autorizzazioni o certificazioni necessarie per operare.

Nuovi percorsi di sviluppo

La paura delle sanzioni spingerà decisamente alla compliance ed è qui che si apre un interessante mercato per chi fa IT e cybersecurity: non solo perché molte imprese dovranno implementare nuove piattaforme di protezione ma anche per il nascere di nuove esigenze organizzative e di rivisitazione dei processi di gestione delle informazioni. In particolare, la Direttiva NIS2 introduce in azienda due nuove figure: il Punto di Contatto NIS, che è necessariamente un dipendente e fa un po’ da “guida” per la compliance NIS, e il Referente CSIRT, che invece può essere – e spesso sarà – un consulente esterno. Fa da interfaccia operativa tra l’azienda e il CSIRT Italia, quindi (tra l’altro, non solo) coordina la risposta agli incidenti cyber e ne gestisce le notifiche alle autorità. “I suoi compiti richiedono competenze tecniche IT e di cybersecurity, oltre che una certa capacità di gestire situazioni critiche, quindi è prevedibile che molte imprese utenti decidano di esternalizzare questo ruolo, rivolgendosi ai loro partner cyber o IT di maggiore fiducia”, spiega Cecchetti.

Il mercato potenziale collegato alla NIS2 è molto ampio, perché stanno lavorando alla compliance alla norma non solo le aziende che vi sono obbligate formalmente per settore di attività, dimensioni aziendali e criticità dei servizi erogati, ma anche molte organizzazioni della loro supply chain. Il motivo è semplice, sottolinea Cecchetti: la supply chain security è uno dei punti cardine della NIS2, quindi una organizzazione ufficialmente obbligata alla compliance deve valutare la “security posture” dei suoi fornitori e fare in modo (anche con obblighi contrattuali) che una loro eventuale compromissione cyber non impatti sulla continuità dei suoi servizi. Per un fornitore di una grande azienda o di un service provider, a questo punto, essere a sua volta compliant con la NIS2 diventa un obbligo di fatto.

Tra NIS2 e DORA

Oltre alla NIS2, molti operatori del mondo IT si troveranno ad affiancare le imprese utenti nel recepimento di un’altra norma legata alla cybersecurity: DORA. Come spiega Cecchetti, “Parliamo del Digital Operations Resilience Act che, come indica chiaramente il nome, si concentra in modo specifico e tecnico sulla resilienza operativa, in questo caso degli operatori del mondo Finance, mentre la NIS2 affronta in termini più generici la cybersecurity”. La differenza importante è anche un’altra: “La maturità dei soggetti coinvolti: realtà come assicurazioni, fondi, banche, società di investimento stanno seguendo già da anni un percorso di responsabilizzazione in ambito cybersecurity”.

Il fil rouge che unisce NIS2 e DORA – e anche il meno conosciuto e affrontato AI Act – è comunque forte: la resilienza cyber non è una questione tanto e solo di tecnologie quanto di gestione del rischio IT e di una nuova visione della protezione della supply chain. Per la cybersecurity nelle imprese si tratta di un importante cambio di prospettiva che passa obbligatoriamente dallo sviluppare un articolato sistema di governance. E qui si vede il valore dei partner che possono realmente portare un valore aggiunto che combini la parte strettamente tecnica con un insieme di competenze più trasversali. Compresa la parte legale.

Lo stesso, con le debite differenze, vale e varrà per l’AI Act europeo. Che ha già di per sé una importanza fondamentale, sottolinea Cecchetti, “perché è la prima norma a livello mondiale che va a disciplinare il tema dell'Intelligenza Artificiale”, ma che proprio per la sua modernità è ancora difficile da recepire, per molte aziende. Anche qui, come in altri casi simili, saranno le prime sanzioni a richiamare l’attenzione delle organizzazioni che stanno portando avanti progetti di AI, ma i temi chiave sottesi dalla normativa sono comunque chiari e su questi gli operatori di canale possono già prepararsi e lavorare.

Parliamo ad esempio di alfabetizzazione, perché un’azienda non può gestire correttamente un progetto di AI se i dipartimenti coinvolti, e anche il top management, non conoscono bene cosa stanno maneggiando. Poi ci sono da considerare temi più tecnici, come il logging e la tracciabilità delle operazioni dell’AI, la definizione degli scenari in cui è indispensabile la supervisione umana, la qualità dei dati che “muovono” le applicazioni di Intelligenza Artificiale. E, trasversalmente, sempre una logica comune di risk management. Con in più il problema che le normative collegate all’AI sono in divenire come le stesse tecnologie che vogliono disciplinare: “Sono tanti i temi che devono essere toccati nell’approcciare l’AI Act, inoltre affrontare un progetto di Intelligenza Artificiale senza saper dove va la normativa non permette di ottimizzare i propri investimenti”, ricorda Cecchetti. E proprio per questo il partner giusto può fare la differenza.