Aumentando di 40 o addirittura 50 volte il numero di entità controllate dall'ANSSI in Francia, la legge sulla resilienza porta la sicurezza informatica in una nuova dimensione. La NIS2 rappresenta un importante passo avanti in termini di aumento del livello di sicurezza delle entità ritenute essenziali, ma anche in termini di diffusione di una vera e propria cultura informatica in tutto il tessuto economico. In questo modo, la direttiva contribuisce a creare un circolo virtuoso verso un ambiente digitale più sicuro, leva essenziale per l'innovazione. Tuttavia, questa riforma solleva una serie di interrogativi, che Cloud Temple ha esposto in dettaglio nel corso della sua audizione davanti alla Commission Supérieure du Numérique et des Postes.
Una delle prime insidie della trasposizione di NIS2 nel diritto francese risiede nel rischio di accatastamento normativo, che costituirebbe un fattore di inerzia per gli attori destinatari del testo. Di fronte a una moltitudine di norme, diventa difficile capire e le organizzazioni possono essere tentate di frenare le loro iniziative in assenza di una chiara comprensione dei requisiti da soddisfare. La questione delle certificazioni e delle qualifiche menzionate nel Resilience Bill aggiunge un ulteriore livello di complessità. Come si concilieranno questi nuovi requisiti con le normative esistenti, come il Military Planning Act, il RGPD, SecNumCloud e gli standard PCI, HDS e ISO 27001?
Facilitare la prova di conformità
Una riforma della portata della NIS2 avrà un impatto sull'intero rapporto tra il cliente e il fornitore di servizi digitali. Il processo amministrativo per dimostrare la conformità è cruciale in questo sviluppo, poiché una maggiore pressione sui fornitori potrebbe complicare il loro compito. La necessità di garantire la sicurezza della catena di fornitura potrebbe portare a un sovraccarico di conformità normativa, con revisioni dei contratti, richieste di audit e questionari sulla sicurezza. Tuttavia, è nell'interesse di tutti che gli operatori digitali dedichino il loro tempo ad aumentare il livello di sicurezza dei loro servizi piuttosto che a dimostrare che sono sicuri. Per evitare queste insidie, la definizione di criteri per la presunzione di conformità contribuirebbe a snellire il processo sia per i fornitori di servizi che per i clienti. Un approccio efficace sarebbe quello di costruire una matrice di conformità con parametri di riferimento riconosciuti e presunzioni indiscutibili di conformità, supportate da audit e marchi di certificazione.
Rendere gli attori digitali facilitatori della riforma
Un'altra questione riguarda lo status speciale dei giocatori digitali, che saranno oggetto di una legge di attuazione europea che non ha ancora visto la luce. È quindi difficile, in questa fase, capire come si inseriranno nel sistema. E questo è tanto più importante se si considera che per il successo di questa riforma è fondamentale che i player digitali siano vettori e facilitatori del progresso informatico, e non entità regolamentate come le altre. Altrimenti, l'ANSSI si troverà da sola a svolgere la sua missione per le 12.000-15.000 entità presenti in Francia. La capacità degli operatori del cloud di conformarsi alla NIS2 e di fornire un supporto efficace ai propri clienti dipenderà dal contenuto finale del contratto di prestazione. Le regole saranno adattate alle caratteristiche specifiche del cloud, che comporta la condivisione delle responsabilità e la messa in comune delle risorse? La rapida pubblicazione di tutti i testi è fondamentale per garantire una transizione senza intoppi.
Notifica dell'incidente: chi fa cosa?
La notifica degli incidenti di sicurezza è un altro aspetto critico del Resilience Bill: la definizione di chiare soglie di gravità, di chiare scadenze e la determinazione dell'autorità competente per la notifica sono elementi centrali del sistema. Nel contesto di emergenza di un incidente informatico, è fondamentale disporre di un quadro di notifica che non lasci spazio a interpretazioni. Una notifica troppo precoce o troppo tardiva può avere un impatto reale sulla capacità di risolvere la crisi, soprattutto in caso di attacco informatico. Il principio della "notifica il prima possibile" deve essere chiarito per evitare qualsiasi incertezza nelle situazioni di crisi. Il prossimo decreto sulle procedure di notifica degli incidenti dovrebbe quindi essere oggetto di consultazione con il settore, al fine di stabilire regole pragmatiche, realistiche e di facile attuazione da parte degli attori interessati.
Sostenere gli sforzi per migliorare le competenze
Infine, i talenti restano il nerbo della guerra informatica. Con il cambiamento di scala determinato dal Resilience Bill, un gran numero di aziende e di autorità locali nuove al settore inizieranno il loro processo di cybersecurity, in un momento in cui il reclutamento di talenti specializzati è difficile e costoso. È fondamentale garantire che l'ecosistema della cybersecurity sia in grado di supportarli. Anche il tempo necessario ai fornitori di servizi per effettuare audit o fornire servizi può rappresentare un ostacolo. Lo Stato deve svolgere un ruolo cruciale nell'aiutare le aziende e le organizzazioni a conformarsi, sostenendo al contempo l'ecosistema informatico e gli sforzi per formare i talenti. Le modalità di finanziamento saranno fondamentali, soprattutto per le 1.653 autorità locali interessate dalla riforma.
L'ANSSI è consapevole che l'ascolto delle parti interessate - e in particolare degli attori digitali - è essenziale per il successo della NIS2 in Francia. La raccolta di esigenze e commenti è un contributo pragmatico al progetto di legge, per renderlo una leva senza precedenti per la sicurezza informatica in Francia e in Europa. Le audizioni tenute dalla Commission Supérieure du Numérique et des Postes confluiranno in questo processo di consultazione iterativa. In un momento in cui l'agenda parlamentare è sconvolta dalle nuove scadenze elettorali e la scadenza del 17 ottobre si avvicina, è fondamentale non sacrificare questo sforzo di co-costruzione sull'altare dell'efficienza legislativa. Una legge e dei decreti attuativi adottati in fretta e furia sarebbero un pessimo inizio per questa riforma strutturante.