In Italia l’ampliamento della direttiva Nis riguarda quindi quasi tutte le grandi aziende produttive. Ma non le piccole che rischiano di essere un punto debole per tutti.

L’isola danese di Bornholm si trova nel Mar Baltico, vicino ai gasdotti di Nord Stream. Il 10 ottobre è rimasta senza energia elettrica. Quarantamila persone al buio. La causa dell’interruzione, probabilmente una falla nel cavo che collega l’isola alla Svezia, non è stata subito chiara. Qualche settimana prima dal Parlamento europeo era stato lanciata l’ipotesi che l’attacco al gasdotto facesse parte di un piano russo più ampio per sabotare le connessioni sottomarine occidentali sollevando così ancora una volta l’urgenza di un piano europeo per la difesa delle infrastrutture strategiche. Piano che, in realtà e in parte, c’è già. A maggio scorso è stata aggiornata la direttiva Network Information Systems (Nis2).

La Comunità europea ha insomma ampliato i criteri della direttiva Nis1, che già prevedeva un miglioramento della security e della sua gestione nei Paesi membri e che aveva un focus importante sulle infrastrutture critiche. L’aggiornamento del Nis ha esteso le direttive relative alla security anche alle medie e grandi imprese che possono avere a che fare con il sistema Paese o che operano in mercati critici. Per esempio, viene eliminata la distinzione tra fornitori di servizi essenziali e fornitori di servizi digitali. Risultato? Le piccole aziende sono escluse dal campo di applicazione della direttiva, almeno che non indichino un ruolo chiave nella fornitura di servizi essenziali all’interno dell’Unione oppure operino in particolari settori o tipi di servizi, come nel caso della Pubblica amministrazione, in quanto coperti automaticamente dalla direttiva, indipendentemente dalle loro dimensioni.