Torno a parlare della Direttiva NIS 2 che, dato il suo vasto campo di applicazione, avevo salutato qualche settimana orsono come un possibile punto di svolta per la sicurezza cyber europea e, di conseguenza, anche nazionale.
Tuttavia, adesso è venuto il momento di fare qualche considerazione su almeno un rischio grave nascosto all’interno di questa normativa, pericoli che, per il nostro paese, abilissimo nello sperimentare forme estreme di autolesionismo tecnologico e normativo, potrebbero trasformare un’opportunità di crescita della competitività in una terrificante zavorra burocratica. La Direttiva prevede che i soggetti interessati esercitino un rigoroso controllo sui propri fornitori diretti di prodotti e servizi.
Gli strumenti attraverso cui storicamente si effettuano queste verifiche ha la loro manifestazione “fisica” in questionari più o meno lunghi e complessi e nella richiesta di un certo numero di documenti che attestino quanto dichiarato. Cosa potrebbe accadere di tanto perverso? Semplicemente che le migliaia di aziende inserite all’interno del perimetro normativo inizieranno a produrre altrettanti questionari tutti tra loro diversi, ma non troppo, destinati ad altre centinaia di migliaia di aziende che sono loro fornitori.
In questo scenario una PMI che avesse come clienti, per esempio, un’ottantina di strutture ospedaliere si ritroverebbe ogni anno a dover compilare altrettanti questionari. Pavento il prossimo avvento di una nuova figura professionale: il compilatore di check list che trascorrerebbe il suo tempo nella produttiva attività di generare carta o byte, se preferite, di straordinaria inutilità. Questo sulla semplice considerazione che, a parità di servizio/prodotto fornito, non credo ci sia alcuna ragione logica per cui se adeguato all’ospedale X non lo sia per l’ospedale Y.
Potrebbe accadere questo in Italia? Senza alcun dubbio, perché nel nostro intimo noi siamo quelli “del campanile”, siamo fondamentalmente come ci descriveva Guareschi nei suoi romanzi su Don Camillo e Peppone, e in passato ciò dava un senso alle parole di Metternich che definiva il nostro paese come una mera “espressione geografica.
Oggi leggete la parola “campanile” come “azienda” e non andrete tanto lontani dalla realtà. Per noi italiani, dunque, vi è una sfida nella sfida: prima riuscire a fare sistema, poi accrescere il nostro livello di sicurezza cyber. Detto questo mi permetto un paio di suggerimenti. Il primo. Qualcuno (avrei anche in mente il soggetto) potrebbe farsi parte dirigente e dare indicazioni precise e puntuali su quali siano i requisiti dei fornitori da verificare a seconda del settore così come definito dalla NIS 2. Se poi non ci si riesce, il suggerimento per una grande semplificazione lo offre la stessa Direttiva. Al "considerando" 79 leggiamo: “Le misure di gestione dei rischi di cibersicurezza dovrebbero pertanto affrontare anche la sicurezza fisica e dell'ambiente dei sistemi informatici e di rete includendo misure volte a proteggere detti sistemi da guasti del sistema, errori umani, azioni malevole o fenomeni naturali, in linea con le norme europee e internazionali, come quelle di cui alla serie ISO/IEC 27000”.
Meglio la prima soluzione, ma se proprio non ci riusciamo…
