categoria: Draghi e gnomi
Cybersicurezza, la medaglia a due facce delle regole europee
Post di Marco D’Elia, Country Manager Sophos Italia –
In un quadro di forte incremento del cybercrimine e costante evoluzione delle minacce, gli enti statali e sovrastatali stanno cercando di dotarsi di mezzi tecnici avanzati capaci di contrastare il rischio digitale supportandoli attraverso appositi strumenti legislativi. Per questo. l’Unione Europea ha pubblicata ufficialmente il 27 dicembre 2022 la seconda versione della Direttiva sulla sicurezza delle reti e dei sistemi informativi (anche nota come NIS 2), il cui scopo è quello di rafforzare le cyberdifese delle aziende. L’obiettivo è quello di proteggerle ancora meglio dagli attacchi informatici e limitare l’impatto dei potenziali incidenti sulle parti coinvolte.
Nondimeno, questa nuova normativa è una medaglia a due facce poiché, se da un lato cerca di rafforzare la cybersicurezza, dall’altro introduce un ulteriore livello di complessità per chi opera nei settori previsti.
Le aziende per mettersi in regola hanno tempo fino al 17 ottobre 2024, data nella quale la norma sarà recepita nella nostra legislazione. In Italia, infatti, è dello scorso 10 giugno la notizia dell’approvazione, da parte del Consiglio dei Ministri, del Decreto di recepimento della Direttiva NIS 2 dell’UE, un passo importante per il nostro paese.
L’introduzione di nuovi obblighi e delle relative sanzioni costringe le organizzazioni interessate a rivedere strategie e tool per la cybersicurezza al fine di risultare conformi alla direttiva.
Un ampio scenario normativo per la cybersicurezza europea
Con l’introduzione di un nuovo paradigma rispetto alla direttiva NIS 1 del 2016, la NIS 2 amplia la portata della norma a un totale di 18 settori pubblici e privati.
Oltre ai settori chiave già previsti dalla precedente versione come energia, sanità, trasporti, banche e finanza, gli obblighi di conformità si estendono ora ad altre aree di attività come la produzione, la trasformazione e la distribuzione alimentare, la ricerca, i servizi ICT (Information and Communication Technology) e i provider di soluzioni digitali.
Tutte le parti interessate si dividono tra ‘soggetti essenziali’, come pubbliche amministrazioni, provider di reti o servizi di pubblica comunicazione ecc., e ‘soggetti importanti’, ovvero tutti coloro che sono definiti tali dai vari Stati membri.
La direttiva definisce infine la categoria a se stante delle ‘infrastrutture digitali’. A tutte queste tre categorie si aggiunge poi una specifica dimensione delle aziende che operano in ciascun settore sulla base del numero di dipendenti e del fatturato. In particolare la direttiva riguarda aziende con almeno 50 dipendenti o con un fatturato di oltre 10 milioni di euro all’anno; ma si applica anche ad altri operatori indipendentemente dalle loro dimensioni. Le aziende interessate dovrebbero comunque considerare le misure di sicurezza della loro supply chain a valle.
In termini di cybersicurezza, tuttavia, le aziende interessate dalla nuova direttiva sono principalmente realtà di medie dimensioni e non necessariamente dispongono già di soluzioni o policy adeguate e conformi. Di conseguenza, con la proliferazione delle proposte e soluzioni disponibili sul mercato, potrebbe esserci confusione circa la strada più corretta da percorrere per raggiungere la compliance con NIS 2. E se la soluzione giusta fosse la cybersicurezza gestita?
Alti livelli di stress per i responsabili della cybersicurezza. Quindi?
L’entrata in vigore della direttiva NIS 2 in Italia non è l’unica sfida che le aziende devono affrontare: vi sono anche le questioni legate ai vincoli di budget e alla carenza di competenze che affligge ormai il settore della cybersicurezza da diversi anni. Uno studio realizzato da ISC2 ha evidenziato come la carenza di personale specializzato abbia raggiunto un livello record di 4 milioni di posizioni scoperte nel 2023, nonostante in questo campo la forza lavoro sia cresciuta di quasi il 10% nell’ultimo anno.
Le misure introdotte dalla direttiva NIS 2 richiederanno alle aziende di fare molto di più: dovranno definire policy per l’analisi del rischio, formare i dipendenti e migliorare la gestione degli incidenti. Questi obblighi rischiano di mettere a repentaglio il funzionamento di team di cybersicurezza già oberati di lavoro. Secondo un report Gartner, quasi metà dei responsabili della sicurezza prevede di cambiare lavoro entro il 2025 a causa dello stress; il 25% di essi intende passare a ruoli completamente differenti.
Di fronte a queste prospettive, le aziende dovrebbero rivolgersi a soluzioni che facciano risparmiare tempo e ottenere tranquillità. Le soluzioni “as-a-Service” rispondono a queste priorità, tra le altre, combinando insieme servizi tecnologici e servizi umani per alleggerire il carico dei team responsabili della cybersicurezza. Una scelta di questo tipo garantisce la disponibilità di un team di esperti specializzati nella caccia alle minacce il cui ruolo è quello di analizzare e intercettare i rischi su base 24/7. Una tecnologia di rilevamento che unisce automazione e integrazione permette agli esperti di ricevere allarmi relativi ai casi maggiormente critici evitando di perdere tempo sui falsi positivi.
Il rischio delle sanzioni per le aziende
Oltre a rafforzare il proprio livello di cybersicurezza, le aziende chiamate a rispettare questa direttiva dovranno saper gestire meglio i requisiti di reporting alle autorità competenti in caso di incidenti di cybersicurezza. Le sanzioni per mancata compliance possono arrivare al 25% del fatturato annuale.
Adottare una soluzione gestita da team di specialisti dovrebbe permettere alle aziende di approcciare l’implementazione di questa nuova direttiva in totale tranquillità. Si tratta di una decisione che coinvolge CTO e CISO oltre a un più ampio ventaglio di decision maker aziendali dal momento che, con l’introduzione della direttiva NIS 2, questi ultimi potranno essere ritenuti personalmente responsabili di possibili violazioni e incidenti IT con la conseguenza di sanzioni a livello individuale.