Cos'è il «Nis2», la direttiva Ue che costringerà imprese e pubblica amministrazione a proteggersi dalle minacce cyber

Ad aprile l'Agenzia per la cybersicurezza nazionale ha condiviso i dettagli per applicare la direttiva europea: c'è anche l'obbligo di creare una lista dei fornitori digitali

Conto alla rovescia per la pubblica amministrazione e le aziende italiane. Mancano appena sei mesi alla nuova fase del Nis 2 (Network and Information Security Directive), la direttiva dell’Unione europea che impone a diciotto categorie essenziali o critiche per lo Stato — dall’energia alla sanità, dallo spazio al manifatturiero — di adottare misure per difendersi da possibili attacchi informatici. Dal 31 ottobre comincia la seconda fase del progetto comunitario, cioè la messa in pratica degli obblighi che negli ultimi mesi ogni Paese ha declinato e definito per le proprie aziende e pubbliche amministrazioni. Le misure di sicurezza di base, insomma, dovranno essere implementate e operative. Per applicare l'obbligo comunitario alle esigenze italiane c'è l’Agenzia per la cybersicurezza nazionale (Acn), che nelle ultime settimane ha pubblicato i dettagli degli adempimenti che devono essere rispettati da imprese e Pa.

«La minaccia cyber è sistemica, non può essere affrontata dal singolo Stato», spiega al Corriere Alessandro Armando, direttore del Cini Cybersecurity National Lab. «Se crolla l'infrastruttura elettrica in Francia o il sistema finanziario in Germania, caschiamo anche noi. Un attacco a un Paese avrebbe ripercussioni sistemiche sull'intera Unione».Innanzitutto, con il Nis 2, le imprese dovranno investire sulla formazione e saranno obbligate a segnalare ogni incidente nella cybersecurity. Ma soprattutto, e qui si vedrà chi è pronto, le aziende dovranno dotarsi di un piano di gestione del rischio informatico — compilando un documento che elenchi i dispositivi e i servizi digitali offerti dall’azienda, nonché valutando le probabilità di un cyberattacco — ma anche di un piano di mitigazione. Che sarà a discrezione degli esperti di sicurezza informatica di ogni organizzazione, perché ad oggi non esiste un framework unico che indichi le azioni standard da intraprendere per gestire gli eventuali incidenti. «È a discrezione dell'organizzazione fare l'esercizio in coscienza nel miglior modo possibile facendo ricorso alle metodologie allo stato dell'arte», ribadisce Armando. «Ci sono consulenti ed esperti all'interno dell'organizzazione stessa che vengono reclutati per fare questo tipo di analisi».Infine, il Nis 2 ha introdotto per la prima volta il tema di governance e responsabilità in caso di attacco hacker: saranno infatti gli organi di gestione a rispondere personalmente in caso di problemi informatici.