La NIS2 è una norma che parla di cybersicurezza. Ma da quante prospettive? Il legislatore europeo non ha voluto parlare (solo) del perimetro IT, quello tecnico dell’informatica, ma soprattutto di governo dell’impresa. La stessa Commissione europea la presenta spostando l’accento “inside the boardroom”, nella stanza dei bottoni dove le cose sono decise. La spinta innovativa è nella più esplicita esigenza di accountability del top management.NIS2 e governo dell’impresaNon si tratta di mere declamazioni dal tono politico, c’è sostanza giuridica sotto: l’art. 23 del decreto legislativo n. 138/2024 attribuisce agli organi di amministrazione e agli organi direttivi di soggetti essenziali ed importanti un ruolo diretto nell’approvazione delle modalità di implementazione delle misure di gestione del rischio, nella supervisione della loro attuazione, nella formazione propria e del personale e nell’informazione periodica sugli incidenti e sulle notifiche. Non è più una materia per soli tecnici. Lo conferma poi l’art. 24, quando parla di analisi dei rischi, gestione degli incidenti, sicurezza della supply chain, valutazione dell’efficacia delle misure, formazione.Il rischio digitale come circuito organizzativoNon basta più il presidio specialistico di una funzione, ma serve by default il coinvolgimento, non di mera forma, di chi siede nelle stanze apicali. La norma è più esigente. L’organizzazione deve essere capace di leggere i fatti, riconoscere i segnali rilevanti, attivare escalation sensate, collegare vulnerabilità, processi, fornitori, servizi e impatti. In questa prospettiva, la governance non coincide con il vertice che decide; coincide con l’organizzazione che rende il rischio leggibile prima ancora che il vertice sia chiamato a decidere. La governance non è una freccia che discende dall’alto o che ascende dalla funzione specialistica. La governance è un circuito che, attraverso uno scambio continuo di dati e informazioni, monitora e gestisce il rischio.Nella NIS2 metodo e cultura non sono un abbellimento semantico utile nei considerando, sono la sostanza nuova della norma. Metodo, cioè criteri condivisi per qualificare i problemi e non trattarli ogni volta come eventi isolati; è il lessico comune che permette al circuito di far girare le informazioni nel suo flusso. Cultura, è l’effetto che dal circuito passa per osmosi alle persone, permettendogli di sussumere la fattispecie concreta in quella giuridicamente rilevante, di distinguere una semplice anomalia da un fatto che merita escalation (cioè di essere inserito nel circuito).Paper compliance e ordine apparenteA questo punto, però, si deve parlare anche del rischio nascosto: se la governance si traduce in una prolissa opera di paper compliance, l’unico risultato è dar vita ad un mosaico che rappresenta l’ordine ma che non è in grado di ordinare davvero. Peggio, dietro la maschera di un ordine apparente si cela un caos che non potrà più essere governato, perché nascosto.Quando le imprese provano a tradurre la governance in pratica, il rischio (anche a causa del lavoro di tanti “consulenti”) è che la checklist si sostituisce alla riflessione e al pensiero, alla logica che ogni processo dovrebbe governare. Implementare policy, checklist, template, matrici, moduli, questionari, standard di ogni natura e foggia senza una visione di come queste debbano poi tradursi nella pratica rischia di infettare l’organizzazione con una patologia tipica della compliance contemporanea: scambiare la compilazione per la valutazione.La compilazione produce traccia; non sempre produce giudizio. Si può così generare una forma di ordine apparente, rassicurante sul piano documentale, che però non coincide con un reale ordine dei fatti. Il template dà l’impressione che il rischio sia stato letto, pesato e governato solo perché qualcuno ha riempito tutti i campi. Ma spesso ciò che si replica non è il ragionamento: è il suo simulacro.La NIS2 richiede discernimentoÈ proprio qui che la NIS2, se presa sul serio, diventa più scomoda di quanto molti credano. La logica dell’adeguatezza, della proporzionalità, dell’approccio multi-rischio, della valutazione dell’efficacia e della formazione è difficilmente compatibile con una compliance puramente meccanica. Tutte queste categorie presuppongono discernimento. Presuppongono la capacità di capire i fatti, non soltanto di registrarli. Presuppongono che l’organizzazione sappia motivare perché un evento è rilevante, perché richiede escalation, perché incide sulla continuità operativa o sulla supply chain.Non serve demonizzare eccessivamente template e checklist. Non lo meritano. Ma impariamo ad usarli solo quando aiutano a pensare, non quando sostituiscono il pensiero. Meno strumenti che chiedono soltanto di completare campi; più modelli di strutture logiche. Meno format che chiudono il ragionamento; più schemi che aiutano a impostarlo bene. Un buon modello non dispensa dal giudizio, lo orienta. Aiuta a qualificare i fatti, a distinguere ciò che conta da ciò che non conta, a motivare escalation coerenti, a collegare evento, processo, vulnerabilità, fornitore, servizio e impatto. Meno si/no, più spazi aperti, flessibili. Logica e anelasticità non saranno mai migliori amici.Dalla regola al giudizio diffusoLa buona governance non si misura dal numero di documenti prodotti, né dal volume delle checklist compilate. Si misura dalla capacità dell’organizzazione di trasformare la regola in criterio operativo, e il criterio operativo in giudizio diffuso. È questo, forse, il punto più serio della NIS2: non chiede solo se l’impresa abbia formalizzato un sistema di controllo; chiede se quell’impresa sia diventata più capace di comprendere e gestire il proprio rischio digitale.