Con la NIS2 cosa cambia per i security manager

Intervista a Alessandro Manfredini - Presidente di AIPSA, Associazione Italiana Professionisti Security Aziendale

Cosa cambia per i security manager con la NIS2? In particolare per chi si occupa di realtà, come la GDO, che la NIS2 per certi versi consacra ad infrastruttura critica? E poi: non saranno un po’ troppi i soggetti interessati? Sono richieste sostenibili, soprattutto per le PMI? E come si potranno concretamente effettuare i controlli? Non si finirà per chiedere solo certificazioni su certificazioni (che peraltro, area cyber security, languono)? Last but not least: il security manager ha poteri sufficienti, allo stato attuale? L’abbiamo chiesto ad Alessandro Manfredini, Presidente di AIPSA, Associazione Italiana Professionisti Security Aziendale. 

Cosa cambia per i security manager con la NIS2? In particolare per chi si occupa di realtà, come la GDO, che la NIS2 sostanzialmente consacra ad ‘infrastruttura critica’? 

Definire la GDO come infrastruttura critica tout court rischia di ingenerare confusione poiché la Direttiva CER prevede tra i settori solo quello della produzione, trasformazione e distribuzione di alimenti, mentre la Direttiva NIS2 inserisce tra i servizi importanti il cibo (inteso come produzione all’ingrosso e produzione e lavorazione industriale). Più in generale rappresenta una grande novità della NIS2 l’inserimento di alcuni settori definiti come servizi importanti, che si aggiungono ai servizi essenziali. Si tenga presente che la NIS2 nasce dopo l’esperienza del Covid, che ha dimostrato quanto alcuni servizi classificati come importanti fossero invero essenziali per il funzionamento del sistema paese: dalla GDO alimentare, per riprendere la sua domanda, per passare a corrieri e spedizioni, per non parlare della gestione dei rifiuti. In tema di GDO, rammento che la Direttiva UE 114 del 2008 (che includeva tra le infrastrutture critiche anche l’agroalimentare) non ha visto attuazione in Italia fino al D.Lgs 4/9/2024 n. 134. Per tornare alla NIS2, o meglio al suo D.Lgs 138 di recepimento, tale norma ha esteso le misure di sicurezza cibernetica anche alle società controllate e collegate ai soggetti destinatari, e questo potrebbe rappresentare una criticità dal punto di vista interpretativo. Penso ad un piccolo alimentari di paese che porti un marchio celebre: in generale starà all’ACN insieme alle Autorità di settore (ossia i Ministeri di riferimento) definire delle linee guida che non impattino eccessivamente sulle realtà meno dimensionate. L’ACN ha comunque rassicurato che userà criteri di gradualità e proporzionalità al rischio.

Ma non saranno un po’ troppi i soggetti interessati? Temo fallimenti a raffica...

Francamente no. Sinora c’è stata una sensibilità troppo scarsa alla minaccia cyber: a mio parere, il legislatore sta quindi facendo oggi con la sicurezza cibernetica ciò che è stato fatto in passato per la salute e sicurezza sul lavoro. La impone. Se però la sua domanda è se per le PMI l’impatto finanziario sarà troppo pesante, le rispondo che è una questione di domanda ed offerta. Più sicurezza cyber significa maggiore qualità del prodotto e del servizio: il maggior costo potrebbe essere anche ribaltato sul cliente, che a sua volta col tempo sarà in grado di poter scegliere – anzi esigerà - prodotti dotati di sicurezza intrinseca. Deve passare il concetto che senza sicurezza non è pensabile la transizione digitale, e senza transizione digitale non sono pensabili delle efficienze che nel lungo periodo compenseranno ampiamente gli sforzi finanziari di oggi. 

Altri aspetti critici della norma?

La Direttiva impone che il rischio cyber sui sistemi informativi vada preso in considerazione non solo con riferimento ai sistemi IT che sono funzionali ad erogare il prodotto/servizio “core”, bensì con riferimento al sistema informativo aziendale nella sua interezza, dunque tutto l’apparato IT ma anche OT del soggetto NIS relevant. Un altro tema è che l’intera supply chain di forniture che in qualche modo si interconnettono al sistema informatico aziendale con prodotti o servizi dovrà adeguarsi allo stesso livello di sicurezza imposto all’infrastruttura che è direttamente oggetto della NIS2. Spetterà ancora all’ACN emanare delle linee guida per definire il reale livello di sicurezza richiesto ai fornitori. Si è in ogni caso ottenuto che, ad alcuni fornitori strategici, le misure di sicurezza cyber vengano applicate non in forza della contrattualistica vigente tra le parti, ma per legge. Si tratta di un passo cruciale per ridefinire i rapporti di forza con contraenti (penso a provider mondiali) verso i quali anche una realtà italiana ritenuta essenziale risulterebbe essere comunque un contraente debole.

Tutto bellissimo, ma come si potranno effettuare questi controlli? Non si finirà per chiedere solo certificazioni su certificazioni (che peraltro, area cyber security, languono)? 

Morire di compliance è un rischio che dobbiamo scongiurare: decreterebbe il fallimento dell’intero impianto normativo. Certo le certificazioni aiuteranno per un primo screening; un ruolo cruciale lo rivestirà poi il CRA imponendo che tutti i prodotti che arrivano in UE debbano essere intrinsecamente sicuri, quale che sia il market place. Ci attendiamo inoltre ulteriori percorsi di certificazione presidiati dal CVCN. Ma il principio è che le certificazioni devono essere solo un punto di partenza. Il security manager dovrà poi calare ogni certificazione in funzione dell’ambiente in cui il prodotto deve operare perché è la figura che conosce le vulnerabilità dei diversi processi. Il security manager dovrà poi svolgere un lavoro di intelligence sulle minacce, far svolgere ulteriori test e orchestrare un’attività interdisciplinare che coinvolga le operations, il procurement, il legal e il business in generale. A mio avviso dovrà poi essere il security manager a dover operare come punto di riferimento verso l’ACN in caso di incidente. 

Siamo certi che questo ruolo competa al security manager e non ad altre figure, ad esempio il DPO?

Al DPO spetta segnalare al Garante per la Protezione dei Dati Personali e/o ai diretti interessati gli eventuali data breach che impattino solo sui dati personali operando in parallelo al security manager, se del caso. Ma, benché la NIS2 non si esprima sul punto, è assodato che la figura di riferimento, in caso di incidente cyber, debba essere la stessa professionalità che, per funzione, è deputata a valutare il rischio. La NIS2 pone la responsabilità di garantire un “comune elevato livello di sicurezza” in capo ai board aziendali (che non a caso devono essere formati in tal senso, assieme al top management) e chiede che sia individuato un referente per la messa a terra nelle misure di sicurezza. Questa figura deve essere per forza il security manager, essendo egli l’orchestratore che disciplina formazione, valutazione del rischio, monitoraggio e implementazione delle misure di sicurezza, oltre al governo della supply chain. 

Ma il security manager ha competenze e soprattutto ‘poteri’ sufficienti, allo stato attuale?

Chi fa il security manager ha (o almeno dovrebbe avere) le necessarie competenze – tecniche, normative e manageriali. Il vulnus è che ad oggi mancano i security manager. Vista l’ampia platea di soggetti che rientreranno nel perimetro della NIS2, si aprirà infatti un ampio mercato per queste professioni. Quanto ai poteri (che sono strettamente legati alla funzione e - più prosaicamente - al budget assegnato), ad oggi dipendono dalla sensibilità del management dell’azienda. Ponendo però la responsabilità della sicurezza informatica in capo ai CdA, e con l’inasprimento delle sanzioni dettato dalla NIS2, la norma imporrà di fatto di dare deleghe forti – comprensive di adeguato budget - ai security manager.