Nei prossimi 12 mesi le organizzazioni che operano o hanno sede nell’Unione Europea dovranno dedicarsi a incrementare e migliorare la propria resilienza in materia di cyber security: il desiderio dell’UE di potenziare collettivamente la sicurezza informatica delle aziende che svolgono attività cruciali per la fornitura di servizi ai propri cittadini ha dato vita a una legislazione a livello europeo che si estenderà agli Stati membri e quindi alle organizzazioni che operano al loro interno.
La Direttiva (UE) 2022/2555, più comunemente nota come “Direttiva sulla sicurezza delle reti e dei sistemi informativi nell’Unione (NIS)” o “Direttiva NIS 2”, entrerà in vigore nelle legislazioni nazionali a partire dal prossimo 17 ottobre 2024. Il Regolamento (UE) 2022/2554, per la resilienza operativa digitale del settore finanziario, noto come “DORA”, si applicherà invece a partire dal gennaio 2025.
Le aziende devono cercare di prepararsi al meglio, viste le informazioni disponibili al momento e i requisiti che dovranno rispettare nei prossimi 12 mesi. Per questo, abbiamo cercato di analizzare le implicazioni per i meccanismi di rilevamento, risposta, segnalazione e recupero degli incidenti informatici delle organizzazioni.
Prepararsi a NIS 2 non è una gara a chi riesce a farla franca, ma una partita in cui le aziende più solide superano gli standard di base e traggono da questo impegno un vantaggio competitivo.
La direttiva è molto chiara: multe salate, possibile sospensione del servizio e monitoraggio della conformità vengono utilizzati come leve per incoraggiare le organizzazioni responsabili di servizi critici a prestare attenzione alle minacce di sicurezza informatica e alla risposta a esse.
È stato fissato un parametro di riferimento in termini di gestione del rischio e di misure di mitigazione, tra cui la risposta agli incidenti, formazione del personale, responsabilità dei dirigenti e molte altre.
A fronte di ciò, si prevede che le organizzazioni potranno godere di un migliore supporto attraverso sforzi coordinati a livello europeo.
Questo includerà informazioni condivise sulle minacce, un più elevato grado di sicurezza informatica comune e una mentalità condivisa.
Si tratta di una buona notizia sia per le organizzazioni che desiderano rimanere competitive in un panorama di minacce così complesso, sia per i cittadini che usufruiscono dei loro servizi.
In primo luogo, le imprese dovrebbero verificare se il loro settore, sottosettore e dimensioni rientrano nell’ambito di applicazione di NIS 2 e, di conseguenza, registrarsi.
Gli articoli 21 e 23 della direttiva sono quelli a cui la grande maggioranza delle organizzazioni dedicherà il proprio tempo, esaminando l’elenco delle misure di gestione del rischio e degli obblighi di segnalazione richiesti.
L’ambiguità relativa all’applicazione pratica di ciascuna misura spicca per la sua assenza.
Le aziende dovranno implementare un insieme di interventi e se manca un pezzo all’appello, la conformità può essere messa in dubbio e le difese più deboli esposte.
Per quanto riguarda, invece, gestione degli incidenti e formazione del personale, sicurezza della catena di approvvigionamento e MFA, non c’è spazio per troppi dubbi: NIS 2 indica un elenco “minimo” e le organizzazioni devono impegnarsi a intraprendere un percorso di miglioramento continuo in materia di cyber security per essere sempre un passo avanti rispetto agli attori delle minacce e pronte a rispondere ai pericoli attuali e futuri.
Le organizzazioni che dovranno conformarsi a NIS 2 saranno più numerose di quelle che lo sono state finora.
Oltre ai settori dell’energia, dei trasporti, della sanità e altri, NIS 2 riguarda adesso anche le infrastrutture digitali, la gestione dei servizi ICT, la pubblica amministrazione e vari sottosettori, tra cui i prodotti chimici, la gestione dei rifiuti, gli alimenti e la ricerca.
DORA si concentra sul settore finanziario e sulle aziende IT che lo assistono.
È comunque interessante osservare che NIS 2 precisa che per il settore finanziario sarà prima DORA ad essere applicata e, successivamente, le eventuali lacune saranno colmate da NIS 2.
Districarsi in un mosaico di normative non è una novità per molte aziende, ma le organizzazioni interessate devono pensare a come conformarsi per fornire un livello di base di cyber sicurezza accettabile, o preferibilmente, superarlo.
In linea generale, può risultare complicato stabilire se un’organizzazione abbia fatto abbastanza per conformarsi alle misure previste.
Le aziende interessate cercheranno una guida più chiara su ciò che costituisce una gestione accettabile degli incidenti, ad esempio per dimostrare ai revisori, e quindi alle autorità, quali “misure tecniche, operative e organizzative appropriate e proporzionate” hanno implementato.
Quello che ci si auspica è che si faccia maggiore chiarezza entro la fine di ottobre 2024 e che si creino dei precedenti quando le aziende verranno chiamate in causa.
Tuttavia, l’etica e l’enfasi della direttiva sono chiare: le organizzazioni devono lavorare per comprendere le loro attuali capacità e lacune ed esaminare ciò che potrebbe essere fatto per migliorare la loro resilienza e sicurezza informatica al fine di gestire i rischi, continuare le operazioni e ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi.
Molti leader avranno notato che le autorità avranno il potere di sospendere temporaneamente un’organizzazione dalla fornitura di un servizio, di impedire a un amministratore delegato di gestire l’azienda e di ritenerla responsabile per la violazione dell’obbligo di garantire la conformità a NIS 2.
Le autorità possono ordinare alle società di porre fine a pratiche scorrette, di rendere pubblici i propri errori e di avviare azioni correttive.
Le multe previste da NIS 2 sono state concepite per scoraggiare le pratiche scorrette in materia di sicurezza informatica e per incentivare una particolare attenzione al mantenimento dell’operatività: la minaccia di una sanzione pari a 10 milioni di euro massimo o del 2% del fatturato mondiale costituisce il proverbiale bastone per i settori ad alta criticità.
La gestione del tempo e del denaro sta a cuore a tutte le aziende. In base a quanto stabilito da NIS 2, le organizzazioni avranno solo 24 ore per presentare una notifica di allarme alle autorità, mentre il GDPR richiede una segnalazione entro le 72 ore dall’incidente.
Tuttavia, per le violazioni più gravi, le multe previste dal GDPR sono pari al doppio di quelle previste da NIS 2.
Possiamo quindi dedurre che le violazioni dei dati personali risultano essere quelle più gravi e impattanti.