Il 17 gennaio 2023, l’Unione Europea ha lanciato la nuova direttiva NIS2, sottolineando l’importanza della sicurezza informatica come componente fondamentale dell’economia e della società digitale e proponendo un miglioramento della protezione digitale degli Stati membri. La direttiva dovrà essere adottata dalle legislazioni nazionali di tutti gli Stati membri dell’UE entro il 18 ottobre 2024, che dovranno elaborare piani di sicurezza nazionali e formare team specializzati per la sua attuazione.
Per facilitare l’adozione di questa nuova normativa da parte delle aziende italiane, BeDisruptive evidenzia i passaggi fondamentali.
Il primo passo è valutare se la NIS2 incide sull’organizzazione, dato che si applicherebbe solo alle entità che rientrano nella categoria delle entità essenziali o importanti.
Una volta stabilito l’obbligo di conformità agli standard, è necessario definire, attraverso un’analisi delle lacune, quali saranno le misure tecniche, operative e organizzative appropriate, con riferimento al principio di responsabilità per proteggere i sistemi e le reti informatiche, adottando un approccio multirischio. In altre parole, si tratta di determinare se l’organizzazione deve implementare misure o dove deve migliorarle per soddisfare i requisiti del nuovo standard e, allo stesso tempo, determinare se sono necessari anche gli investimenti o le competenze di cui l’organizzazione ha bisogno per conformarsi al nuovo standard.
Nel fare questa valutazione, non si deve dimenticare di definire i criteri di impatto in azienda per determinare quali processi, siti o risorse rientrano nell’ambito della conformità alla direttiva.
Una volta definiti i criteri di impatto, è necessario effettuare una valutazione dell’impatto aziendale per identificare quali processi sono critici e quanto dipendono dalla rete e dai sistemi informativi.
Infine, le aziende che rientrano nell’ambito di applicazione della NIS2 dovranno essere in grado di gestire i rischi per la sicurezza delle informazioni. Per soddisfare questo requisito, è necessario implementare un Sistema di Gestione della Sicurezza delle Informazioni e dei Rischi che consenta di identificare, affrontare e controllare i rischi per la sicurezza delle informazioni dell’organizzazione, oltre a garantire la definizione delle responsabilità e il funzionamento dei processi chiave.
Secondo Federica Maria Livelli, Training Academy Director di BeDisruptive: “La NIS2 non solo impone nuovi obblighi, ma offre anche un’opportunità per le aziende di rafforzare la propria resilienza informatica. È fondamentale che le organizzazioni valutino attentamente la propria supply chain e adottino un approccio multi-risk per gestire i rischi di cybersecurity in modo efficace”.
Negli ultimi anni, gli attacchi informatici hanno colpito molti settori della catena di fornitura. Secondo Gartner, entro il 2025 si prevede che il 45% delle organizzazioni subirà attacchi ai software della catena di fornitura. Ciò evidenzia l’impatto diffuso degli attacchi informatici e la crescente importanza della sicurezza della stessa. È infatti più che mai fondamentale riconoscere che la sicurezza digitale è determinata anche dal livello di sicurezza del partner più debole della catena.
“Il regolamento NIS2 enfatizza l’importanza della sicurezza nella catena di approvvigionamento, stabilendo che le organizzazioni che forniscono certi servizi alle entità coperte dalla normativa dovranno migliorare la loro sicurezza digitale, anche se non sono direttamente incluse nella direttiva. Di conseguenza, è essenziale comprendere e valutare la sicurezza della propria catena di fornitura secondo i requisiti del nuovo regolamento, poiché molte violazioni di successo derivano da attacchi indiretti tramite i fornitori”conclude Federica Maria Livelli.