Cybersecurity e compliance sono tra le sfide maggiori che devono affrontare i direttori aziendali, dovendo districarsi tra regolamenti differenti tra paesi e settori e allo stesso tempo, assicurare operatività rapida ai team impegnati nella difesa delle reti.
Entrambe infatti, lungi dall'escludersi a vicenda, devono trovare un'integrazione che permette di essere conformi alle direttive e allo stesso tempo sicuri dalle intrusioni, in un equilibrio tutt'altro che scontato. Leggi e regolamenti che sono variegati, diversi per settori industriali e anche tra i paesi. Così un'azienda può dover rispettare anche più di una direttiva, tuttavia ciò non significa necessariamente che l'infrastruttura aziendale raggiunga un livello di sicurezza accettabile. Così come nemmeno il contrario è assicurato. A livello Europeo si è cercato da tempo di uniformare la normativa in materia, con la Direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS) del 2016, il cui obiettivo era proprio quello di raggiungere elevati livelli di sicurezza comuni a tutti gli stati membri. La scadenza per recepire la direttiva nell'ordinamento nazionale era il maggio 2018. L'Italia lo ha fatto con il Decreto Legislativo n.65 del 18/05/2018.
La Direttiva NIS.
A chi si rivolge
La Direttiva NIS coinvolge tutti gli operatori dei servizi essenziali all'interno dell'Unione Europea (Operator of Essential Services - OES) e i fornitori di servizi digitali ( Digital Service Providers - DSP) che operano all'interno dell'Unione Europea. Rimanevano esclusi i fornitori di servizi digitali di piccole dimensioni, con meno di 50 dipendenti e fatturato annuo inferiore a 10 milioni di euro. Tra i primi rientrano gli operatori nei settori dell'acqua potabile, dell'energia, delle infrastrutture digitali, della salute, dei trasporti e della finanza. Tra i secondi sono inclusi servizi come quello fornito dai motori di ricerca, servizi di cloud computing e piattaforme di commercio elettronico.
Cosa prevede
Nello specifico la Direttiva NIS richiede l'adozione di misure tecniche e organizzative adeguate a rendere sicure le proprie reti aziendali a partire dall'analisi dei rischi potenziali con l'implementazione di tutte quelle pratiche necessarie per prevenire il verificarsi si incidenti di sicurezza o minimizzare i potenziali danni, assicurando la continuità dei servizi. Inoltre un aspetto cruciale è la comunicazione tempestiva all'autorità competente di ogni incidente informatico che influisca sulla continuità del servizio. Per tutte le organizzazione coinvolte che non si adeguano alla Direttiva sono previste delle sanzioni amministrative fino a 150 mila euro.
La Direttiva NIS2.
Quella definita come NIS2 è di fatto un aggiornamento dell'originaria Direttiva NIS del 2016, resosi necessario dall'evoluzione degli scenari del rischio informatico e dalla necessità di colmare alcune lacune emerse in precedenza. A maggio 2022 si è finalmente raggiunto un accordo su tali aggiornamenti. Il focus rimane quello di potenziare il livello di sicurezza per le aziende, con particolare riferimento alla supply chain, rivelatasi una delle maggiori criticità, ma anche la semplificazione delle modalità e degli obblighi di notifica degli incidenti. Un altro aspetto importante è che viene eliminata la duplice distinzione tra i soggetti coinvolti in favore di una classificazione delle aziende in "essenziali" e "importanti", stabilita sulla base dei servizi offerti. Infine l'ambito di applicazione viene ampliato, coinvolgendo anche il settore farmaceutico, dei prodotti chimici e dei dispositivi medici, quello alimentare, dei rifiuti e dei servizi postali, e la pubblica amministrazione.
I vantaggi per le aziende.
I soggetti coinvolti dalla Direttiva NIS - NIS2 sono chiaramente specificati e un ampio numero di imprese rimane escluso da tali obblighi. Tuttavia la Direttiva rimane un'ottima opportunità per effettuare un'autovalutazione critica delle proprie infrastrutture informatiche per meglio comprendere la situazione e i rischi potenziali, nonché migliorare la risposta in caso di violazione. Anche senza un vincolo legislativo infatti, assicurare l'adeguata protezione delle reti per garantire l'operatività e la fornitura dei servizi oltre che la riservatezza delle informazioni deve essere una priorità per ogni impresa, anche per quelle di piccole dimensioni.
Di fatto l'autovalutazione che la Direttiva propone è fattibile per ogni azienda, eventuali interventi possono risultare impegnativi anche a livello economico, tuttavia già avere consapevolezza dei propri limiti è un passo in avanti. Il processo di autovalutazione affronta due ambiti: l'analisi del rischio relativo alla violazione delle informazioni o a utilizzi non autorizzati e l'analisi dell'efficacia delle misure di sicurezza in base a checklist standard. Questo tipo di approccio migliora sensibilmente la consapevolezza dei rischi anche per quelle aziende che non sono direttamente coinvolte da obblighi di legge ma che non per questo sono meno esposte alla perdita di dati o al blocco dell'operatività. Proteggere il proprio business non può che essere una priorità per ogni operatore economico.
