Secondo il white paper pubblicato dall’Organizzazione Europea per la Sicurezza Cibernetica (ECSO), la mancata adozione della direttiva in diversi Paesi rischia di accentuare la frammentazione tra gli approcci nazionali, ostacolando la creazione di standard comuni per la protezione delle reti e dei sistemi informativi.
La maggior parte degli Stati membri dell’UE non ha ancora recepito la direttiva NIS2, nonostante la scadenza fissata al 17 ottobre 2024. Per questo motivo la Commissione europea ha deciso di avviare procedure di infrazione a 23 Stati membri.
Lo rivela il white paper dell’European Cyber Security Organisation (ECSO) basato sull’implementazione della direttiva relativa a misure per un livello comune elevato di cibersicurezza nell’Unione.
L’ECSO è stata creata nel 2016 come controparte contrattuale della Commissione Europea per implementare l’unico partenariato pubblico-privato europeo nel settore della cybersicurezza – il cPPP (2016-2020). Sulla base del successo del cPPP, ECSO è oggi l’unica organizzazione europea indipendente e multisettoriale per la cybersicurezza, che riunisce e rappresenta le parti interessate pubbliche e private europee nel settore della cybersicurezza, promuovendone la cooperazione.
Secondo il white paper dell’ECSO, la mancata adozione della direttiva in diversi Paesi rischia di accentuare la frammentazione tra gli approcci nazionali, ostacolando la creazione di standard comuni per la protezione delle reti e dei sistemi informativi.
Ma perché 23 Paesi non hanno adottato la NIS2?
L’Italia è uno dei pochi Paesi che hanno recepito completamente la direttiva nella legge nazionale, insieme a Croazia, Belgio e Lituania. Il nostro Paese si è mosso tempestivamente, dimostrando un forte impegno verso la sicurezza informatica. Secondo il report diversi fattori potrebbero aver contribuito a questo ritardo diffuso. Ecco quali.
Complessità del processo di recepimento
La NIS2 è una direttiva complessa con un’ampia portata, che richiede modifiche significative alle leggi e ai regolamenti nazionali. Il processo di recepimento può richiedere tempo e risorse significative da parte degli Stati membri, con la necessità di coordinare diversi ministeri e agenzie.
Adozione simultanea di più politiche sulla sicurezza informatica
Gli Stati membri devono adottare contemporaneamente diverse politiche sulla sicurezza informatica, come il regolamento DORA (Digital Operational Resilience Act) e il regolamento CER (Cybersecurity Resilience of Information and Communication Systems). Questo può mettere a dura prova le risorse e la capacità degli Stati membri di recepire tempestivamente tutte le nuove normative.
Impatto su vasta scala sulle aziende
La NIS2 ha un impatto significativo sulle aziende, in particolare sulle PMI, che potrebbero non disporre delle risorse e delle competenze necessarie per conformarsi ai nuovi requisiti. Gli Stati membri potrebbero essere esitanti a recepire rapidamente la direttiva per evitare di gravare eccessivamente sulle aziende.
Fattori politici nazionali
Il recepimento della NIS2 potrebbe essere influenzato da fattori politici nazionali, come la resistenza da parte di alcuni settori o la mancanza di consenso politico sulla necessità della direttiva.
Un esempio significativo di questi fattori è il caso dell’Austria, dove il Consiglio nazionale ha respinto la prima versione della legge di recepimento della NIS2, causando il mancato rispetto della scadenza da parte del paese.
Oltre ai fattori menzionati sopra, la mancanza di informazioni accessibili e rilevanti online e l’assenza di un archivio centrale che fornisca un quadro aggiornato sullo stato di recepimento nei vari paesi potrebbero contribuire alla difficoltà di implementazione della NIS2.
Le difficoltà delle PMI nell’implementare la NIS2
Secondo il report le piccole e medie imprese (PMI) affrontano sfide significative nell’implementazione della direttiva NIS2, spesso a causa di requisiti indiretti imposti dalla loro posizione nella catena di approvvigionamento. Sebbene la direttiva si applichi principalmente a medie e grandi imprese, le entità essenziali e importanti possono estendere le proprie responsabilità di sicurezza ai fornitori, comprese le PMI, obbligandole a rispettare standard di sicurezza equivalenti per mantenere i rapporti commerciali. Questo comporta un onere sproporzionato per le PMI, che devono affrontare gli stessi obblighi delle grandi aziende con risorse limitate.
Le difficoltà includono la necessità di implementare sistemi avanzati di monitoraggio della sicurezza, formazione specifica, procedure di risposta agli incidenti e governance, che rappresentano un costo operativo molto elevato. Anche le imprese di medie dimensioni direttamente soggette alla NIS2 devono affrontare sfide nella gestione delle risorse, poiché la direttiva richiede il coinvolgimento attivo del consiglio di amministrazione nella sicurezza informatica. Tuttavia, un sondaggio evidenzia che il 34% delle organizzazioni non coinvolge i propri dirigenti, segnalando un problema di governance e di priorità strategica.
Inoltre, le diverse interpretazioni della direttiva tra gli Stati membri dell’UE complicano ulteriormente la situazione. Le PMI possono trovarsi a dover rispettare requisiti di sicurezza diversi o a gestire incidenti valutati con criteri non uniformi tra i vari paesi, aumentando le difficoltà operative e il rischio di non conformità. Per il report queste sfide sottolineano la necessità di un approccio armonizzato e di supporto specifico per le PMI nel contesto della NIS2.
