Cybersicurezza, Deloitte: Fondamentale l’equilibrio tra gli obiettivi di cybersicurezza nazionali e gli impegni richiesti alle imprese
È cruciale ispirarsi a principi di consistenza, comparabilità, proporzionalità, gradualità, flessibilità e priorità per assicurare un equilibrio tra gli obiettivi di cybersicurezza nazionali e gli oneri finanziari, amministrativi e tecnici richiesti alle imprese.
Questo è ciò che emerge dalla memoria di Deloitte richiesta dalla IX Commissione (Trasporti, Poste e Telecomunicazioni) della Camera dei Deputati, in merito allo schema di decreto legislativo recante recepimento della direttiva (UE) 2022/2555 relativa alle misure per un livello comune elevato di cybersicurezza nell’Unione Europea (NIS2).
I principi indicati da Deloitte puntano all’applicazione uniforme delle misure di cybersicurezza richieste alle imprese in linea con i Framework precedentemente adottati (consistenza); all’estensione di differenziazione per obblighi secondo ulteriori criteri come settori, sottosettori o categorie di soggetti (proporzionalità); all’adozione progressiva delle misure, inizialmente focalizzata sui sistemi, reti e servizi critici, estendendosi poi al resto dell’organizzazione (gradualità); alla possibilità per le imprese di adottare metodologie e approcci propri consolidati nel tempo per gestire la criticità dei sistemi e modulare di conseguenza l’adozione delle misure di sicurezza (flessibilità attuativa); a definire infine i tempi di recepimento differenziati, in relazione alla criticità delle risorse informatiche o dei servizi in ambito (priorità).
Una loro auspicabile applicazione implicherebbe un beneficio in termini di conseguimento degli obiettivi di cybersicurezza bilanciati con gli impegni richiesti alle imprese, valorizzando le strategie e i programmi messi in atto dalle imprese negli anni passati, evitando di imporre un onere finanziario/amministrativo aggiuntivo a quanto già previsto.
Oltre ai principi, la memoria sottolinea l’importanza di incentivare le imprese, semplificare gli obblighi di registrazione e le attività ispettive, nonché di armonizzare a livello europeo le modalità di adozione delle misure di sicurezza e di notifica degli incidenti.
La Direttiva mira a garantire la sicurezza in tutti i settori strategici della nostra economia e società, come Energia, Trasporti, Infrastrutture dei Mercati Finanziari, Acqua Potabile, Sanitario, Bancario, Infrastrutture Digitali, fornitori di Servizi Digitali a cui sono aggiunti nuovi settori come Spazio, Gestione dei Servizi TIC, Acque Reflue, Chimico, Fabbricazione, Alimentare, Servizi Postali e di Corriere, Gestione dei Rifiuti e Ricerca.
Sono decine di migliaia le imprese italiane che potrebbero essere potenzialmente impattate. Tutto ciò rappresenta una sfida, ma anche un’opportunità per avviare o proseguire nel percorso di innalzamento dei livelli di Cybersicurezza delle singole imprese, fondamentale per la resilienza e lo sviluppo digitale, economico e sociale del nostro paese.
Deloitte ringrazia il presidente della Commissione e i suoi membri per avere richiesto e tenuto in considerazione il punto di vista dei suoi esperti di Cyber Security. La Cyber Security è tra i temi portanti della strategia di Deloitte Italia, che ha redatto la memoria sulla base dell’esperienza maturata nel corso degli anni al fianco di istituzioni, aziende pubbliche e private.
— —