È cruciale ispirarsi a principi di consistenza, comparabilità, proporzionalità, gradualità, flessibilità e priorità per assicurare un equilibrio tra gli obiettivi di cybersicurezza nazionali e gli oneri finanziari, amministrativi e tecnici richiesti alle imprese. Questo è ciò che emerge dalla memoria di Deloitte richiesta dalla IX Commissione (Trasporti, Poste e Telecomunicazioni) della Camera dei Deputati, in merito allo schema di decreto legislativo recante recepimento della direttiva (UE) 2022/2555 relativa alle misure per un livello comune elevato di cybersicurezza nell’Unione Europea (NIS2).
I principi indicati da Deloitte puntano all’applicazione uniforme delle misure di cybersicurezza richieste alle imprese in linea con i framework precedentemente adottati (consistenza); all’estensione di differenziazione per obblighi secondo ulteriori criteri come settori, sottosettori o categorie di soggetti (proporzionalità); all’adozione progressiva delle misure, inizialmente focalizzata sui sistemi, reti e servizi critici, estendendosi poi al resto dell’organizzazione (gradualità); alla possibilità per le imprese di adottare metodologie e approcci propri consolidati nel tempo per gestire la criticità dei sistemi e modulare di conseguenza l’adozione delle misure di sicurezza (flessibilità attuativa); a definire infine i tempi di recepimento differenziati, in relazione alla criticità delle risorse informatiche o dei servizi in ambito (priorità).
Una loro auspicabile applicazione implicherebbe un beneficio in termini di conseguimento degli obiettivi di cybersicurezza bilanciati con gli impegni richiesti alle imprese, valorizzando le strategie e i programmi messi in atto dalle imprese negli anni passati, evitando di imporre un onere finanziario e amministrativo aggiuntivo a quanto già previsto.
Oltre ai principi, la memoria sottolinea l’importanza di incentivare le imprese, semplificare gli obblighi di registrazione e le attività ispettive, nonché di armonizzare a livello europeo le modalità di adozione delle misure di sicurezza e di notifica degli incidenti.
La Direttiva mira a garantire la sicurezza in tutti i settori strategici della nostra economia e società, come Energia, Trasporti, Infrastrutture dei Mercati Finanziari, Acqua Potabile, Sanitario, Bancario, Infrastrutture Digitali, fornitori di Servizi Digitali, a cui sono aggiunti nuovi settori come Spazio, Gestione dei Servizi TIC, Acque Reflue, Chimico, Fabbricazione, Alimentare, Servizi Postali e di Corriere, Gestione dei Rifiuti e Ricerca.Sono decine di migliaia le imprese italiane che potrebbero essere potenzialmente impattate. Tutto ciò rappresenta una sfida, ma anche un’opportunità per avviare o proseguire nel percorso di innalzamento dei livelli di cybersicurezza delle singole imprese, fondamentale per la resilienza e lo sviluppo digitale, economico e sociale del nostro paese.