Direttiva NIS: questionari e buon senso?

Queste settimana vado sul tecnico, ma in Italia, forse, stiamo vivendo un passaggio storico. La NIS 2, la direttiva europea che aggiorna il quadro comune di cybersicurezza per soggetti essenziali e importanti (in Italia sono circa 25 mila), sta lentamente dispiegando i suoi effetti. In particolare ha portato al centro della scena un tema molto concreto: la sicurezza della supply chain e, quindi, il rapporto tra i soggetti obbligati e i loro fornitori rilevanti. Ora immaginiamo la scena. Da una parte ci sono migliaia di soggetti NIS che, diligenti come alunni il primo giorno di scuola, preparano il loro questionario per il fornitore rilevante. Dall’altra, oltre a centinaia di migliaia di PMI, ci sono sempre gli stessi pochi grandi fornitori: telco, energia, qualche altro snodo indispensabile senza il quale la capacità operativa dell’organizzazione si azzera in pochi minuti. Il risultato è facile da prevedere: una foresta di moduli quasi uguali, una grandinata di richieste, una liturgia documentale che rischia di produrre più carta che controllo. Tuttavia, la NIS 2 non nasce per organizzare una tipografia regolatoria. La direttiva chiede ai soggetti essenziali e importanti di governare anche la sicurezza della supply chain, quindi di guardare ai fornitori diretti, ai servizi ricevuti, alle vulnerabilità specifiche, alla qualità dei prodotti e alle pratiche di cyber security del fornitore. Nel quadro italiano ACN, la nostra Agenzia per la sicurezza cyber, ha reso questo tema molto concreto, chiedendo di considerare i fornitori rilevanti e dedicando loro una sezione specifica nelle FAQ del suo sito. Fin qui tutto lineare. Il punto, però, è che per alcune categorie di fornitori la rilevanza non è una sorpresa investigativa, ma un dato strutturale. Le telco ricadono nella fornitura ICT, di solito sono la premessa, e molto spesso anche nella non fungibilità. L’energia elettrica è non fungibile per evidenza. Si presenta allora il primo equivoco da evitare. Una cosa è identificare un fornitore rilevante, altra cosa è ottenere garanzie che il rischio sia davvero presidiato. Nei fornitori non fungibili sistemici il problema non è “scoprire” la rilevanza, come se servisse una caccia al tesoro regolatoria, ma capire come gestirla. Costringere migliaia di soggetti NIS a ripetere la medesima istruttoria su fornitori identici nella sostanza significa trasformare un dato di realtà in una pratica amministrativa seriale. È una differenza decisiva, perché la sicurezza vera comincia quando si smette di confondere il censimento con il governo del rischio.

C’è poi un tema di efficienza sistemica. La NIS 2 punta a elevare il livello comune di cyber security, non a moltiplicare gli attriti inutili. Esistono anche quelli utili che rallentano l’errore, rendono visibile il rischio, costringono a fare le domande giuste. Tuttavia, spedire migliaia di questionari quasi sovrapponibili ai medesimi fornitori infrastrutturali non è utile. Si tratta di traffico che porta a congestione documentale. È il classico caso in cui la compliance, anziché proteggere, consuma ossigeno organizzativo. Quando, poi, il perimetro nazionale supera le ventimila organizzazioni, con oltre cinquemila soggetti essenziali, l’idea che ciascuno apra il proprio piccolo sportello istruttorio verso le stesse telco o le stesse utility assomiglia più a un ingorgo in tangenziale che a una strategia di sicurezza.

In più, il rapporto bilaterale puro soffre di una debolezza quasi ovvia. Il singolo cliente NIS spesso non ha né la forza contrattuale né la visibilità tecnica per ottenere da una grande telco o da una grande utility evidenze profonde, omogenee e comparabili. Se il sistema si regge soltanto su iniziative sparse, la qualità dell’assurance raccolta dipenderà dalla fortuna, dal peso negoziale e dalla pazienza del singolo. In altri termini, si finisce con una mappa della filiera fatta di tasselli disomogenei: qui una dichiarazione, lì una tabella, altrove un audit o, peggio ancora, qualcosa di poco più che una brochure ben scritta. È la compliance delle ombre cinesi: sagome nitide, sostanza inesistente.

Per questo, per i fornitori non fungibili sistemici, la soluzione più coerente con la ratio della NIS 2 sembra un’altra: un modello standardizzato di assurance, riusabile, proporzionato e comune, un cruscotto uniforme di evidenze minime e verificabili. Perimetro del servizio, continuità ed escalation, gestione degli incidenti, misure essenziali di sicurezza, dipendenze critiche, subfornitori rilevanti, attestazioni indipendenti, aggiornamenti periodici: quanto basta per consentire a una pluralità di soggetti NIS di dimostrare che il rischio è conosciuto e governato. Sarebbe una lingua comune al posto di migliaia di dialetti contrattuali. Questo aiuterebbe non solo i clienti, ma anche la vigilanza, perché ciò che è uniforme si confronta meglio, e quindi si governa meglio. In fondo il punto è semplice. Quando un fornitore è sistemico, la sua rilevanza non è da dimostrare e non si governa con il bricolage documentale, ma con standard, proporzione e responsabilità verificabile. Si tratterebbe di fare uno sforzo per fare in modo di praticare una sicurezza adulta con qualche questionario in meno e qualche buona pratica in più. Adesso si tratta di capire a chi tocca… Un’idea l’avrei.