Il 18 ottobre 2024 segna l'entrata in vigore del D.Lgs. 138/2024, che recepisce la Direttiva NIS2. Per le pubbliche amministrazioni e gli operatori dei settori essenziali (e non solo), questo non significa semplicemente spuntare voci su una lista di controllo. Si apre una nuova era che richiede un approccio proattivo e strutturale alla sicurezza informatica, ben più complesso di una mera attività di compliance.
Si potrebbe pensare: "finalmente una normativa che obbliga ad occuparsi di sicurezza!". E invece, la realtà è un po' più complessa. Perché, diciamocelo, la necessità di implementare misure di sicurezza tecniche ed organizzative non è nata con la NIS2. È come scoprire l'acqua calda nel XXI secolo.
Nel settore pubblico, si parla di misure di sicurezza tecniche e organizzative dalla lontana (per i più giovani, e un po' meno lontana per gli altri) Circolare AgID n. 61/2013. Il Codice dell'Amministrazione Digitale (CAD), un vero monumento legislativo (e a volte anche un labirinto), contiene numerose disposizioni sulla sicurezza, come l'art. 13-bis, che parla di Codice di condotta tecnologica ed esperti. Insomma, la letteratura in materia non mancava. Ma, come direbbe un ottimista (o forse un ingenuo), "la buona volontà non basta mai".
La farsa della valutazione dei fornitori: privacy by design e by default... solo a parole?
Ma veniamo al dunque. La vera sfida, quella che mette a nudo la fragilità del sistema, non risiede solo nell'adeguamento interno delle PA, ma nella consapevolezza e la sensibilità delle organizzazioni stesse. Pensiamo, ad esempio, alla valutazione tecnica dei fornitori. Il principio di privacy by design e by default (art. 25 GDPR) impone una valutazione accurata della sicurezza informatica di ogni fornitore prima di affidare un incarico. Immaginiamo la scena: il RUP alle prese con la valutazione di un fornitore. Sarà dotato di un questionario sofisticato? O, peggio ancora, si affiderà al "sentito dire", all'offerta più vantaggiosa o alla fama del fornitore?
Quando si parla di nomine ai sensi dell'art. 28 GDPR possiamo giocare a "Dolcetto o Scherzetto", ma con un significato tutto particolare! Un fornitore ben selezionato con una solida reputazione e prassi sicure è il nostro "dolcetto" preferito, sicuro e senza sorprese! Trascurare la verifica dei fornitori – un brutto tiro che può portare a un incidente di sicurezza o a un audit sgradito. Non c'è niente di peggio che ricevere una sorpresa non gradita quando meno te lo aspetti. In questo gioco di compliance, meglio optare sempre per il "dolcetto" di una valutazione preventiva e continua dell'operato dei tuoi partner.
Le nomine ex art. 28, a partire dal 18 ottobre 2024, dovrebbero contenere clausole stringenti in materia di sicurezza. Clausole che, idealmente, dovrebbero prevedere:
Obblighi di sicurezza granitici: nessuna possibilità di interpretazione ambigua. Misure tecniche e organizzative precise e dettagliate.
Procedure di notifica degli incidenti stile "rapida e furiosa": nessun ritardo, nessun tentativo di insabbiamento. Trasparenza assoluta (o quasi).
Obblighi di gestione del rischio da manuale: valutazione, mitigazione, monitoraggio del rischio… un vero incubo per chi è abituato a lavorare con la filosofia del "vedremo".
Clausole contrattuali con responsabilità chiare: se qualcosa va storto, si sa chi paga il conto. Basta con la nebulosa responsabilità diffusa.
Consigli (quasi) pratici:
Mappatura dei fornitori: una vera e propria caccia al tesoro per trovare tutti i fornitori, anche quelli nascosti negli angoli più bui della burocrazia.
Questionario di valutazione: un'arma potente, se utilizzata correttamente. Ma attenzione, potrebbe trasformarsi in un'arma a doppio taglio se mal concepito.
Monitoraggio continuo: l'occhio vigile di un grande fratello digitale (ma in versione benevola, ovviamente).
Formazione del personale: l'investimento più importante, anche se spesso sottovalutato.
In definitiva, la NIS2 non è solo una Direttiva da rispettare, ma un'occasione per una vera e propria trasformazione digitale, seguita da misure di sicurezza tecniche ed organizzative adeguate. Una trasformazione che, però, richiede una profonda rivoluzione culturale, oltre che tecnologica. Solo così potremo evitare di trasformare la NIS2 in un'altra sinfonia incompiuta nella lunga storia della digitalizzazione.