Un altro dubbio amletico della NIS 2
La Rubrica - Cybersecurity week
Torno sull’argomento perché noto, con un certo disappunto, che rispetto alla Direttiva NIS 2, destinata a elevare i livelli di sicurezza cyber nella UE, tutti continuano a farsi la domanda sbagliata. Ne avevo già scritto qui, ma sto scoprendo che, forse a causa della pervicacia con cui non si leggono le norme, la domanda (la mia azienda rientrerà nel perimetro della NIS2?) sta producendo un’altra nefasta conseguenza. Alla ricerca di una risposta molte aziende si apprestano a spendere inutilmente dei soldi chiedendo a professionisti di ogni genere e foggia un “parere qualificato e dirimente” in materia. Il mio auspicio è che tali professionisti abbiano l’onestà intellettuale di rispondere che il loro parere può essere senza dubbio professionale, ma non potrà mai essere “qualificato e dirimente” per la semplice ragione che nel decreto c’è scritto che un solo soggetto può fornirlo. Al terzo paragrafo dell’articolo 7 del Decreto in via di approvazione definitiva si legge: “Tramite la piattaforma digitale di cui al comma 1, l’Autorità nazionale competente NIS (ACN n.d.r.) comunica ai soggetti registrati di cui al comma 2: l’inserimento nell’elenco dei soggetti essenziali o importanti; la permanenza nell’elenco dei soggetti essenziali o importanti; l’espunzione dall’elenco dei soggetti”. Questo avverrà entro il 31 marzo dell’anno prossimo. Detto questo, fornisco il mio parere “non qualificato e neppure dirimente”, ma semplicemente basato su quanto è scritto nella norma. Se l’organizzazione rientra in una delle categorie previste dagli allegati alla norma si iscrive al portale che sarà messo a disposizione dall’Agenzia per la cybersicurezza nazionale poi aspetta il 31 marzo. Come scrivevo nell’articolo già citato è bene tenere presente che, in ogni caso, i controlli sulla filiera dei fornitori a cui sono obbligati gli operatori critici e importanti produrranno un effetto domino dal quale sarà molto difficile sfuggire. Aggiungo quindi un ulteriore suggerimento “non qualificato e neppure dirimente”, ma basato sul buon senso. Iniziate a farvi la domanda giusta: come posso migliorare la sicurezza cyber della mia organizzazione?
