L’abbiamo atteso. Con un po’ d’ansia, qualche preoccupazione, anche delle aspettative. Ottobre è ormai arrivato e con lui, prevedibile, il nulla o poco più o, forse, poco meno: praticamente niente.
Il tanto agognato intervento di armonizzazione delle diverse normative in materia di Security, vigenti o prossime a vigere, non è ancora avvenuto e, probabilmente, non avverrà.
Alla naturale e legittima preoccupazione per i tanti interventi tecnici da realizzare, si somma la confusione organizzativa che a brevissimo inevitabilmente si genererà. Pur avendo diffusamente trattato il tema (n.d.r. https://www.snewsonline.com/va-pensiero-indifferenza-panico-pensiero-tormentato-sicurezza/), giova approfondire quelle implicazioni sottese al nuovo quadro normativo che si sta per configurare in Italia.
Il Security Manager in Italia
Come noto, ad esclusione degli Istituti di vigilanza (di livello dimensionale 4 e ambito territoriale di applicazione 4 e 5), la figura del Security Manager in azienda non è un obbligo, ma questione di pura “sensibilità” (n.d.r. https://www.snewsonline.com/cristhian-re-ricomincio-da-tre-passato-presente-e-futuro-evoluzione-di-un-profilo/). Realtà con migliaia di dipendenti e fatturati a nove cifre ignorano spesso i termini stessi della questione e, quand’anche sommariamente sensibilizzate, non ne vedono utilità o ritorni. Paradossalmente in Italia abbiamo più persone certificate come Security Manager (UNI 10459) che aziende capaci di assorbirne il numero, senza contare coloro che fanno questo mestiere privi del “bollino blu” (n.d.r. https://www.snewsonline.com/le-vie-del-lavoro-sono-finite/). Nonostante ciò, scuole e Atenei continuano a formare i futuri professionisti della sicurezza che verosimilmente non troveranno idonea collocazione. Il mercato del lavoro, infatti, apprezza certamente competenze acquisite e certificazioni conseguite, ma il capitale relazionale, l’appartenenza e la provenienza marcano sempre la differenza.
Sicurezza: lo scenario legislativo
Il Legislatore, invece, dopo aver finalmente compreso la gravità della minaccia proveniente dal cyberspazio, è intervenuto con tutta la potenza di fuoco del diritto. Di qui la pioggia di norme del calibro del DLgs. 105/2019, della NIS2, della CER che ricadendo al suolo, dopo aver tracciato un’ampia parabola nei cieli, scoraggiano qualsiasi forma di personale estemporanea iniziativa. Dei contenuti se ne dibatte da mesi, tanti gli esperti. Pertanto, non ci soffermeremo. Ciò di cui si parla meno, addirittura si sorvola, riponendo evidentemente tutte le speranze nella bacchetta magica della Fata Turchina, sono gli impatti organizzativi che ne deriveranno. Al di là di un invisibile assetto a cerchi concentrici tra le tre norme (al centro il PNSC, nel cerchio intermedio la NIS2 e in quello più esterno la CER) e una ancor più invisibile “forza” centripeta che attrae l’anello situato più esternamente verso l’interno (fig. 1), gli interventi del Legislatore restano formalmente distinti e separati, come gli effetti che esse producono non solo sulle aziende direttamente interessate, ma anche su quelle fornitrici, indirettamente coinvolte.
Se analizziamo, infatti, la tavola sinottica riportata in fig. 2 si scorgerà tale legame, ovvero, se un’azienda è designata infrastruttura critica, rientra automaticamente nel perimetro della NIS2 e, eccezion fatta per limitatissimi casi (settore Alimentare, Ambiente e Salute), risulta matematicamente all’interno del Perimetro Nazionale di Sicurezza Cibernetica. Non viceversa.
Il Legislatore prevede che nel Perimetro Nazionale di Sicurezza Cibernetica sia nominato un incaricato (e un eventuale sostituto), nonché un apposito referente tecnico (e almeno un suo sostituto), in ambito NIS 2 la naturale figura responsabile dell’attuazione è il CISO (Chief Information Security Officer) o, qualora non fosse presente, giocoforza il CIO (Chief Information Officer), per le Infrastrutture critiche, infine, un funzionario di collegamento. Se poi la produzione di una infrastruttura critica è sottoposta anche alla normativa un tempo denominata Tutela del Segreto di Stato (D.P.C.M. 5/2015), come ad esempio le fabbricazioni militari, si deve nominare un funzionario alla sicurezza, un Funzionario o Ufficiale COMSEC e un Custode del materiale CIFRA. E il Security Manager, sempreché sia già presente in azienda, che farà da ottobre? Quanti incarichi di quelli in elenco sarebbe in grado di coprire o non coprire? Da solo o con il supporto di una struttura organizzativa e/o di consulenti? Diciamocelo, per fare certi mestieri occorrono competenze. Non trovando calzolai nei paraggi, possiamo sempre chiedere al peritissimo macellaio sotto casa di risuolare le nostre scarpe. Non pretendiamo, però, garanzie sul risultato finale.
Possibili soluzioni
Sempre ammesso che questa improvvisa esplosione di nuovi ruoli obbligatori in azienda abbia un senso (ne conto d’emblée almeno una mezza dozzina in più!) e quest’ultima sia in grado di sostenerne i costi di realizzazione, cosa impedisce di armonizzare in maniera organica, metodica e scientifica una volta per tutte il complesso mondo della Sicurezza? Ipotizziamo che un marziano a ottobre sbarchi sulla Terra, metta piede in una virtuosa azienda in Italia e faccia l’appello delle figure professionali a libro matricola. Alla voce: “Responsabile Sicurezza” quanti professionisti (tra Safety, Security, Information e Cyber) alzeranno la mano? In gioco non è più la difesa del proprio perimetro divenuto sempre più ristretto, ma comprendere cosa sta accadendo intorno a noi. È parere dello scrivente che le tre norme possano convergere in una e che anziché scoprire nuove locuzioni per battezzare nuove professioni, sarebbe forse più proficuo e sostenibile assegnare incarichi e responsabilità al professionista già presente e magari anche riccamente certificato.
