“Dall’oggi al domani, 40-50 mila aziende dovranno investire 200 mila euro in due anni per la sicurezza informatica: le stime parlano chiaro”. I soldi ci sono? “No, ma neppure le competenze ”. Michele Colajanni dirige il Corso di Perfezionamento in Cyber Security Management all’università di Bologna. Da 25 anni predica l’urgenza di uno scatto in avanti sulla sicurezza digitale. Eppure è molto scettico sulla via indicata dalla Direttiva europea Nis 2, per consolidare le fortezze tecnologiche nel Vecchio Continente. La misura è stata recepita nell’ordinamento italiano con il Decreto Legislativo 138/2024, approvato il 4 settembre e pubblicato in Gazzetta il 2 ottobre: dal 16 dello scorso mese è entrata in vigore.

Professor Colajanni, la direttiva Nis 2 obbliga le organizzazioni a rafforzarsi: da decenni sostiene questa necessità.
Sì, infatti l’Europa è arrivata troppo tardi e con le idee un po’ confuse. Solo negli ultimi anni, quando gli attacchi ransomware hanno dilagato, l’Ue ha deciso di intervenire. Ma è caduta nella classica overreaction, con una risposta eccessiva e smisurata. Ha emanato norme di tutti i tipi, troppe.

Ad esempio?
Service act, digital act, cyber resilience act, Nis 1 e Nis 2, Dora: gliene cito solo alcune come esempio. Troppe regole si sovrappongono e talvolta finiscono in conflitto. Ma il messaggio di Bruxelles è chiaro: ora basta, si devono adeguare tutti.

È lo scopo della direttiva Nis 2: imporre obblighi di sicurezza informatica ad una platea più ampia di organizzazioni. Perché è scettico?
Il perimetro è troppo ampio. La direttiva Nis 1 imponeva regole per poche centinaia di infrastrutture critiche. La Nis 2 allarga il perimetro a 40-50 mila organizzazioni, pubbliche e private. Ma se in teoria sono tutte infrastrutture critiche, il rischio è che nella prassi non lo sia nessuna. Servono investimenti ingenti.

Quanto?
Circa 200 mila euro in un biennio. Fino ad oggi le piccole e medie imprese investono sulla cybersecurity 10 o 20 mila euro l’anno.

I soldi ci sono?
No, ma soprattutto mancano le competenze. Il grande salto sulla sicurezza cibernetica, indicato dalla Nis 2, si può realizzare solo grazie alla visione culturale dei top manager.

I nostri top manager le paiono illuminati?
Parlo di sicurezza informatica da 25 anni ma ne ho convinti pochi. Gli obiettivi non sono impossibili da raggiungere e le aziende hanno il dovere di difendersi: ma bisogna avanzare con più gradualità. Non si tratta solo di comprare e installare tecnologie, questo è un cambiamento culturale.

Su chi ricadono gli obblighi della Nis 2?
Sugli organi dello Stato, Regioni e Comuni, aziende sanitarie locali, istituzioni di ricerca, partecipate pubbliche, servizi locali come il trasporto, acqua, luce e gas, le aziende di grandi dimensioni, fino ai fornitori privati della Pubblica amministrazione. Quindi, l’adeguamento si propagherà a cascata: era questo l’obiettivo europeo.

Quali sono i comparti più arretrati?
Manifattura, sanità, trasporti, oppure le utilities locali dell’energia, dei servizi idrici e dei rifiuti.

Queste organizzazioni riusciranno ad adeguarsi?
Difficile a dirsi, in genere hanno scarsa cultura informatica e nessun progetto a lunga scadenza sul digitale e sulla sicurezza. Sono avanzate a tentoni: prima hanno comprato il Pc, poi un sistema gestionale, fino al giorno di un attacco ransomware che mette in crisi il business. Solo allora si scoprono vulnerabili, quando è troppo tardi.

Le aziende si svegliano solo davanti alla minaccia?
È lo scenario tipico degli ultimi anni. Per diffondere consapevolezza sui rischi cyber, gli attacchi ransomware sono stati molti più utili delle mie conferenze tenute in decenni. Conosco tanti casi di aziende che hanno fatto investimenti solo dopo un essere state colpite.

Quali sono i settori più avanzati?
Il più maturo è quello finanziario. Dopo la Nis 2, da gennaio dovrà adeguarsi anche alla direttiva Dora. Anche i colossi energetici nazionali, ovviamente, sono avanti.

Chi dovrà verificare l’adeguamento agli obblighi di 40-50 mila organizzazioni?
L’agenzia nazionale della cybersecurity.

Ha le risorse per farlo?
Credo di sì. Ma il problema è un altro.

Quale?
L’Agenzia per la cybersecurity verificherà che molte organizzazioni non sono all’altezza, dunque abbonderanno le sanzioni, ma serviranno a poco.

Senza sanzioni, come si possono far rispettare le nuove regole?
Quando sei molto immaturo e il traguardo per rispettare gli obblighi è così distante, la punizione è inutile. Nel percorso della sicurezza digitale, le organizzazioni vanno prese per mano, aiutate con un tutor e accompagnate, non punite, altrimenti diventa un massacro. Le sanzioni dovrebbero arrivare dopo tre anni dall’entrata in vigore della direttiva, non prima.

C’è il rischio della diffusione sul mercato di soluzioni cyber a basso costo e di infima qualità?
Non credo, il vero rischio è la diffusione di una sorta di cyber-washing, simile alla falsa svolta ambientalista di certe aziende.

Un trucco per apparire in regola con gli obblighi di sicurezza?
Invece di spendere 200 mila euro per mettere in sicurezza l’azienda, molti preferiscono pagarne 10 mila ad un ente di certificazione. Ti rilasciano un pezzo di carta per attestare buone pratiche di sicurezza informatica. Ma a volte coprono il nulla.

Però ci sono sgravi fiscali per le aziende che investono in cybersecurity adeguandosi alla Nis 2. Le sanzioni non possono finanziare i tagli alle tasse per queste imprese?
Sarebbe un’ottima proposta. Ad oggi però i fondi delle sanzioni sono destinati all’ente sanzionatorio, cioè l’Agenzia per la cybersecurity. Quindi, c’è il rischio che gli ispettori saranno molto più incentivati dei tutor, i quali dovrebbero guidare le aziende a migliorare il loro livello di sicurezza.

Ovvero: più attenzione al “bastone” delle multe che alla “carota” del tutor per affiancare le aziende.
Non sarebbe bello e il franco auspicio è che possano ripensarci.