Entro il 2025, quasi metà delle organizzazioni potrebbe dover affrontare attacchi informatici mirati alla catena di approvvigionamento. Per fronteggiare questa sfida la Ue ha varato la nuova direttiva NIS 2, il cui recepimento nella legislazione nazionale di tutti i Paesi dell’UE è attesa entro il prossimo 18 ottobre.
Entro quella data, i Paesi dell’Unione europea dovranno mettere a punto piani di sicurezza nazionali e team specializzati.
“Attualmente, la situazione riguardante la conformità alla direttiva NIS 2 presenta delle sfide significative”, commenta Federica Maria Rita Livelli, Business Continuity & Risk Management Consultant, BCI Cyber Resilience Committee Member, BeDistruptive Training Center Director e membro del Comitato scientifico Clusit.
Ecco come attuare la compliance alla nuova direttiva sulla cyber security NIS 2 in cinque passi.
Indice degli argomenti
Direttiva NIS 2: a che punto siamo
La nuova direttiva dell’Unione Europea evidenzia il ruolo della cyber sicurezza come fattore cruciale dell’economia e della società digitale, grazie a una migliore protezione digitale degli Stati membri.
L’adozione della direttiva da parte delle legislazioni nazionali di tutti gli Stati membri dell’UE deve avvenire entro il 18 ottobre 2024, quando dovranno formulare piani di sicurezza nazionali e formare team specializzati per la sua attuazione.
“Molte organizzazioni, ad oggi, non sono ancora consapevoli dei requisiti imposti dalla NIS2 o non hanno ancora avviato azioni concrete per adempiervi”, mette in guardia Federica Maria Rita Livelli: “Ciò può essere attribuito alla scarsa consapevolezza del tema che, spesso, viene affrontato esclusivamente dal reparto dei Sistemi Informativi, mentre la responsabilità dovrebbe coinvolgere non solo il Top Management, ma anche l’intera organizzazione, considerando anche l’intera galassia normativa europea che avanza ed è destinata ad impattare sulle organizzazioni e che si basa sempre più su un approccio risk-based e resilience-based“.
I cinque passaggi per le aziende
Per semplificare l’implementazione di questa nuova normativa da parte delle organizzazioni italiane, BeDisruptive, la boutique tecnologica specializzata in cyber security, ha messo a punto cinque step fondamentali, in base ai quali occorre:
- verificare l’ambito di applicazione;
- definire le misure;
- definire i criteri di impatto;
- valutare l’impatto;
- adottare un sistema di gestione dei rischi e della sicurezza delle informazioni.
“Tempus fugit”, avverte Federica Maria Rita Livelli, “e le organizzazioni soggette alla Direttiva NIS 2 ed i loro fornitori non possono più indugiare e devono iniziare o proseguire il loro cammino verso la cyber resilience, identificando i propri punti deboli ed rischi informatici, oltre a garantire la cyber security e la business continuity. Inoltre, sarà altresì fondamentale prendere coscienza dell’importanza di promuovere una cultura della cyber resilience attraverso una governance robusta”.
I 5 step nei dettagli
Il primo passo consiste nello stabilire l’obbligo di conformità agli standard e nella valutazione dell’impatto della NIS 2 sull’organizzazione, dal momento che si applicherebbe solo alle realtà sotto l’ombrello delle entità essenziali o importanti.
Occorre delineare, attraverso un’analisi delle lacune, le misure tecniche, operative e organizzative appropriate, in termini di principio di responsabilità per la protezione dei sistemi e delle reti informatiche, attraverso un approccio multirischio. Bisogna stabilire se l’organizzazione deve adottare misure o dove deve ottimizzarle per venire incontro ai requisiti del nuovo standard e, al contempo, determinare se occorrono anche investimenti o competenze necessari per conformare l’organizzazione al nuovo standard.
I criteri d’impatto aiutano invece a stabilire quali processi, siti o risorse ricadono nella categoria della conformità alla direttiva. Lo step successivo consiste nel valutare l’impatto aziendale per identificare i processi critici e la loro dipendenza dalla rete e dai sistemi informativi.
Infine, le aziende nell’ambito di applicazione della NIS 2 dovranno riuscire a gestire i rischi per la sicurezza delle informazioni. Per soddisfare questo requisito, occorre adottare un
Sistema di Gestione della Sicurezza delle Informazioni e dei Rischi che permetta di identificare, fronteggiare e monitorare i rischi per la sicurezza delle informazioni dell’organizzazione, oltre ad assicurare la definizione delle responsabilità e il funzionamento dei processi chiave.
“La NIS 2 non solo impone nuovi obblighi, ma offre anche un’opportunità per le aziende di rafforzare la propria resilienza informatica. È fondamentale che le organizzazioni valutino
attentamente la propria supply chain e adottino un approccio multi-risk per gestire i
rischi di cyber security in modo efficace”, riporta in una nota la Livelli.
La direttiva NIS2 e la supply chain
Nell’arco degli ultimi anni, i cyber attacchi hanno colpito settori della catena di fornitura. Secondo Gartner, entro il 2025 si prevede che il 45% delle organizzazioni subirà attacchi ai software della supply chain. Gli attacchi informatici hanno un impatto crescente, mentre diventa sempre più cruciale la cyber sicurezza, sempre più legata anche al livello di sicurezza del partner più debole della catena.
“Il regolamento NIS 2 enfatizza l’importanza della sicurezza nella catena di approvvigionamento, stabilendo che le organizzazioni che forniscono certi servizi alle entità coperte dalla normativa dovranno migliorare la loro sicurezza digitale, anche se non sono direttamente incluse nella direttiva. Di conseguenza, è essenziale comprendere e valutare la sicurezza della propria catena di fornitura secondo i requisiti del nuovo regolamento, poiché molte violazioni di successo derivano da attacchi indiretti tramite i fornitori”, conclude in una nota Federica Maria Rita Livelli.
