La cybersecurity viene troppo spesso considerata come un costo, mentre in realtà dovrebbe essere considerato un investimento, necessario e strategico. Considerarlo solo un costo, sebbene questione comprensibile, rischia di lasciare le aziende vulnerabili in un ecosistema digitale sempre più interconnesso e minacciato. Possiamo cambiare prospettiva cercando di trasformare la compliance in un motore di crescita e di riconoscere il valore intrinseco della resilienza digitale.

La Direttiva NIS2, in vigore dal 17 ottobre 2024, rappresenta un punto di svolta cruciale. Non è semplicemente l’ennesima normativa da “spuntare” su una lista di adempimenti, ma un vero e proprio catalizzatore per un ripensamento profondo dell’approccio alla sicurezza informatica. Estendendo il suo raggio d’azione a 18 settori critici dell’Unione Europea, NIS2 impone misure rigorose – dalla gestione degli incidenti alla sicurezza della supply chain, dal controllo degli accessi alla crittografia – e, aspetto fondamentale, richiede un coinvolgimento diretto e una formazione specifica del management aziendale. Questo significa che la cybersecurity non può più essere delegata esclusivamente al reparto IT, ma deve diventare una responsabilità condivisa, un elemento centrale della governance aziendale.

Per troppo tempo, le imprese hanno affrontato la compliance in modo frammentato: il GDPR per la privacy, la ISO 27001 per la sicurezza, il SOX per i controlli finanziari, e ora NIS2 per la cybersecurity. Questo approccio a silos genera inefficienze, duplicazioni di sforzi e costi, incoerenze tra i diversi framework e, non ultimo, una “fatica da compliance” che demotiva le strutture e le persone. Il risultato è una visione parziale e spesso distorta del rischio complessivo.

NIS2 offre l’opportunità di superare questa frammentazione, diventando il “backbone” di un sistema di compliance integrata. La sua enfasi sulla governance olistica, che richiede al management di supervisionare e formarsi sulle misure di cybersecurity, crea una base solida che può estendersi ad altri ambiti. I requisiti minimi di NIS2 per il risk management possono essere unificati per coprire rischi privacy, operativi e persino quelli legati alla sostenibilità. Inoltre, la sicurezza rafforzata della supply chain, richiesta da NIS2, si allinea perfettamente con le due diligence sui fornitori in termini di sostenibilità e controlli anti-corruzione. In sintesi, NIS2 ci spinge a vedere la sicurezza non come un insieme di adempimenti separati, ma come un sistema interconnesso che rafforza l’intera struttura aziendale.

Le PMI, spina dorsale dell’economia italiana ed europea, sono spesso le più esposte e le meno attrezzate ad affrontare le minacce cyber. Questa resistenza all’investimento in sicurezza è alimentata da diversi fattori. Molte imprese sono influenzate da bias cognitivi, vi è cioè la tendenza a privilegiare i costi immediati rispetto ai benefici futuri (“present bias”), la convinzione che “non capiterà mai a noi” (“probability neglect”), o la difficoltà a cambiare abitudini consolidate (“sunk cost fallacy”). Se i bias non consentono una reale ed efficace analisi del rischio prospettico le asimmetrie informative, spesso generate dalla mancanza di competenze interne aumenta le difficoltà nel quantificare i rischi reali generata anche da un panorama normativo complesso. Per non parlare delle pressioni competitive, cioè dalla necessità di focalizzarsi su risultati di breve termine e la percezione che la sicurezza non generi ricavi diretti. Tutto questo produce costi nascosti che possono compromettere la stabilità e la continuità aziendale.

È fondamentale “riframmentare” questa narrativa: la sicurezza informatica non è un costo improduttivo, ma un vero e proprio “business enabler”, un vantaggio competitivo che abilita la trasformazione digitale.

La proporzionalità delle spese: un investimento su misura

Il concetto di proporzionalità è cruciale. Non tutte le aziende hanno le stesse esigenze o le stesse risorse. L’investimento in cybersecurity deve essere commisurato alla dimensione dell’impresa, al settore di appartenenza, alla tipologia di dati gestiti e al livello di rischio. Non sono necessari investimenti incredibili, si tratta di capire come commisurare le azioni di implementazione della sicurezza informatica in modo intelligente e mirato. Per una Pmi questo può significare iniziare con strumenti automatizzati che coprano più requisiti di compliance, sfruttare partnership con Managed Security Service Providers (MSSP) e consulenti specializzati, e adottare standard come ISO 27001 e NIS2 come fondamenta scalabili. L’obiettivo è massimizzare il ritorno sull’investimento, trasformando la compliance in un asset di marketing e un fattore di differenziazione sul mercato.

Per superare la percezione di costo e incentivare le imprese a investire proattivamente nella cybersecurity, è indispensabile un intervento mirato da parte del decisore pubblico. Le leggi fiscali possono giocare un ruolo determinante, trasformando la spesa in sicurezza da onere a opportunità. Crediti d’imposta per investimenti in cybersecurity integrata, agevolazioni fiscali per l’adozione di tecnologie e servizi di sicurezza certificati, o detrazioni per la formazione del personale in ambito cyber, sono solo alcune delle misure che potrebbero stimolare significativamente gli investimenti. Non solo quindi sanzionare chi non si adegua, ma premiare chi sceglie di proteggersi, riconoscendo il valore sociale ed economico della resilienza digitale. Un ecosistema di supporto, con centri di competenza dedicati alle PMI e una semplificazione delle normative, completerebbe il quadro, facilitando l’adozione di pratiche virtuose.

La retorica istituzionale, pur corretta e strategica, spesso non riesce a colmare il “gap percettivo” con la realtà imprenditoriale. Mentre le istituzioni parlano di “investimento in resilienza nazionale”, le PMI sentono il “nuovo costo di compliance”. Entrambe le percezioni sono valide, ma operano su orizzonti temporali diversi. La verità pragmatica è che NIS2 rappresenta simultaneamente un costo a breve termine e un investimento a lungo termine. Il successo dell’implementazione dipende dalla capacità di gestire questa dualità.

Per le istituzioni, ciò significa una comunicazione a “due velocità”: un messaggio strategico per gli stakeholder istituzionali e una comunicazione tattica per le PMI, focalizzata sui “quick wins” e sui benefici concreti. È necessario fornire supporto tangibile, non solo linee guida normative, ma toolkit operativi, partnership con associazioni industriali e casi di successo quantificati per settore. Per le PMI, invece, si tratta di accettare questa dualità temporale, strutturando budget per la compliance immediata e pianificando per avere un ritorno a medio termine. NIS2, e le altre normative, non devono essere viste come una minaccia, ma piuttosto come una leva per investimenti in Ict già necessari e un acceleratore di processi di trasformazione digitale.

La cybersecurity, e in particolare l’implementazione di NIS2, non è né la panacea strategica, né il puro costo percepito dalle PMI. È una transizione necessaria che richiede realismo sui costi a breve termine, visione sui benefici a lungo termine, supporto concreto per colmare il gap implementativo e una comunicazione differenziata per i diversi stakeholder.