Gradualità di applicazione, armonizzazione con le direttive comunitarie e aiuti concreti ad imprese e Pa affinché inseriscano in organico professionisti della cybersicurezza possibilmente certificati.
Sono questi i principi cardine contenuti nel documento inviato dal presidente di AIPSA, l’Associazione dei professionisti della Security, Alessandro Manfredini, all’indirizzo dei presidenti delle Commissioni Affari Costituzionali e Giustizia della Camera dei Deputati, impegnati nelle audizioni in merito all’esame del Disegno di legge sul rafforzamento della cybersecurity nazionale.
“Entro ottobre – sottolinea il presidente – il Parlamento dovrà recepire la Direttiva NIS2. Il nuovo Ddl dovrà quindi essere perfettamente armonizzato con il quadro comunitario per evitare sovrapposizioni, duplicazioni o, peggio, discrasie. Al tempo stesso occorre concedere a imprese e Pubblica amministrazione il tempo necessario ad adeguarsi alle nuove normative. Sarà necessario adottare un approccio per obiettivi di sicurezza, con livelli di attenzione incrementali, sistemi di controlli mitigativi e un piano da notificare all’Autorità per la Cybersicurezza Nazionale che poi dovrà svolgere le opportune verifiche”. Gli ultimi punti messi in evidenza da AIPSA, riguardano gli strumenti da mettere nella disponibilità delle imprese e della Pubblica amministrazione per applicare adeguatamente le nuove normative.
In primis la professionalità dei Security manager, figure ancora troppo spesso assenti sia nelle PMI che nella PA, che avranno un ruolo decisivo nell’organizzazione dei piani di sicurezza e nella trasmissione delle comunicazioni di criticità. A patto che i soggetti interessati abbiano il tempo di avviare collaborazioni anche con professionisti esterni. E qui si inserisce un ulteriore proposta: la Costituzione di poli aggregativi di cybersicurezza a livello centrale in modo che possano essere erogati servizi base a beneficio delle Pubbliche Amministrazioni, sfruttando anche strumenti di finanza agevolata. AIPSA propone infine di destinare parte dei proventi derivanti dalle sanzioni ad un fondo precostituito e finalizzato all’erogazione dei servizi accentrati di cybersicurezza.