È cruciale ispirarsi a principi di consistenza, comparabilità, proporzionalità, gradualità, flessibilità e priorità per assicurare un equilibrio tra gli obiettivi di cybersicurezza nazionali e gli oneri finanziari, amministrativi e tecnici richiesti alle imprese. Questo è ciò che emerge dalla memoria di Deloitte richiesta dalla IX Commissione (Trasporti, Poste e Telecomunicazioni) della Camera dei Deputati, in merito allo schema di decreto legislativo recante recepimento della direttiva (UE) 2022/2555 relativa alle misure per un livello comune elevato di cybersicurezza nell’Unione Europea (NIS2).I principi indicati da Deloitte puntano all’applicazione uniforme delle misure di cybersicurezza richieste alle imprese in linea con i Framework precedentemente adottati (consistenza); all’estensione di differenziazione per obblighi secondo ulteriori criteri come settori, sottosettori o categorie di soggetti (proporzionalità); all’adozione progressiva delle misure, inizialmente focalizzata sui sistemi, reti e servizi critici, estendendosi poi al resto dell’organizzazione (gradualità); alla possibilità per le imprese di adottare metodologie e approcci propri consolidati nel tempo per gestire la criticità dei sistemi e modulare di conseguenza l’adozione delle misure di sicurezza (flessibilità attuativa); a definire infine i tempi di recepimento differenziati, in relazione alla criticità delle risorse informatiche o dei servizi in ambito (priorità). Una loro auspicabile applicazione implicherebbe un beneficio in termini di conseguimento degli obiettivi di cybersicurezza bilanciati con gli impegni richiesti alle imprese, valorizzando le strategie e i programmi messi in atto dalle imprese negli anni passati, evitando di imporre un onere finanziario/amministrativo aggiuntivo a quanto già previsto.Oltre ai principi, la memoria sottolinea l’importanza di incentivare le imprese, semplificare gli obblighi di registrazione e le attività ispettive, nonché di armonizzare a livello europeo le modalità di adozione delle misure di sicurezza e di notifica degli incidenti. La Direttiva mira a garantire la sicurezza in tutti i settori strategici della nostra economia e società, come Energia, Trasporti, Infrastrutture dei Mercati Finanziari, Acqua Potabile, Sanitario, Bancario, Infrastrutture Digitali, fornitori di Servizi Digitali a cui sono aggiunti nuovi settori come Spazio, Gestione dei Servizi TIC, Acque Reflue, Chimico, Fabbricazione, Alimentare, Servizi Postali e di Corriere, Gestione dei Rifiuti e Ricerca.Sono decine di migliaia le imprese italiane che potrebbero essere potenzialmente impattate. Tutto ciò rappresenta una sfida, ma anche un’opportunità per avviare o proseguire nel percorso di innalzamento dei livelli di Cybersicurezza delle singole imprese, fondamentale per la resilienza e lo sviluppo digitale, economico e sociale del nostro paese.Deloitte ringrazia il presidente della Commissione e i suoi membri per avere richiesto e tenuto in considerazione il punto di vista dei suoi esperti di Cyber Security. La Cyber Security è tra i temi portanti della strategia di Deloitte Italia, che ha redatto la memoria sulla base dell’esperienza maturata nel corso degli anni al fianco di istituzioni, aziende pubbliche e private.