Antonio Ieranò ha scritto un articolo dal titolo "Multiutility italiane nel labirinto normativo: tra GDPR, NIS2, CRA e AI Act": https://www.linkedin.com/comm/pulse/multiutility-italiane-nel-labirinto-normativo-tra-gdpr-antonio-ieran%C3%B2-ylo4f.
Non ostante il titolo, è interessante anche per le non-multiutility: spiega bene cosa sono GDPR, NIS2, CRA e AI Act.
Su un successivo articolo di Ieranò ho avuto modo di lamentarmi che fa sembrare tutto più facile di quello che è. Anche su questo ho la stessa impressione. Ciò non toglie che ne vale la lettura.
Vorrei iniziare a fare una riflessione sulla massa di normativa che è uscita e che piano piano va applicata. Forse è troppa ma, soprattutto, come mi ha confermato Monica Perego "è il percorso burocratico che affossa".
I miei timori di qualche anno fa si stanno avverando: troppa gente incompetente (e inconsapevole di esserlo) sta producendo normativa secondaria o terziaria (se esiste; ma forse mi sono inventato io il termine), sta fornendo consigli e sta conducendo verifiche. Causa incompetenza, si concentrano di più sulla "sicurezza di carta" e sulla "sicurezza per sentito dire" che su una seria valutazione del rischio e oculate scelte di processo e tecnologiche.
Troppi sono incompetenti perché la richiesta di figure professionali sulla sicurezza è incrementata velocemente e consulenti di sicurezza di carta sono stati chiamati a formare le giovani leve che quindi continuano a proporre modelli degli anni Ottanta, misure inefficaci (spesso burocratiche) ma che richiedono tanto tempo ed energie, scarsa competenza tecnologica. Purtroppo misure dettate dall'idea che, se c'è un problema, va aumentato il controllo, non migliorato il sistema.
I tecnici si sono defilati? No, perché non hanno sviluppato le attitudini dei consulenti di fare conoscenze e rete e quindi non sono conosciuti da chi avvia i corsi di formazione e le altre iniziative. Chi ha girato per fiere, convegni e roba simile lo sa (un mio cliente era terrorizzato all'idea di andare ai convegni perché saturi di consulenti che, appena lo riconoscevano come potenziale cliente, gli si appiccicavano).
Purtroppo sono anche gli stessi che partecipano e hanno più voce nei tavoli "tecnici". Per i risultati, basti vedere come sono scritte le linee guida ACN (non entro nel merito del contenuto tecnico, ogni tanto anche apprezzabili; troppo spesso sature di inutili richieste documentali). Anche molti standard ISO e non ISO soffrono dello stesso problema.
Così stiamo creando un mostro burocratico e non un circolo virtuoso di innovazione. Questo è un vero peccato.
Per intenderci: io stesso sono un consulente di "sicurezza di carta" e penso che "un po'" di carta sia utile e necessaria per governare e controllare. Sono il primo ad applaudire alle norme che proteggono la privacy e la sicurezza delle persone. Il problema è quando si esagera.
Nessun commento:
Posta un commento