I nuovi obblighi delle aziende per contrastare i criminali informatici

Negli ultimi anni il vecchio continente è tra i principali bersagli di cyber attacchi. Il rapporto Clusit 2024 rileva che l’Europa ha subìto il 12 per cento degli attacchi informatici globali, con un aumento rilevante rispetto agli anni precedenti. Iniziative malevole che hanno colpito comparti strategici come finanza, infrastrutture critiche, trasporti e servizi pubblici, ponendo a rischio dati sensibili e la continuità dei servizi essenziali forniti. Oggi solo il 32 per cento delle imprese ammette di avere un piano di risposta a incidenti informatici, rimarcando una significativa vulnerabilità nel tessuto economico e produttivo. L’Italia è poco preparata in cybersecurity: secondo una ricerca della società NordVPN, infatti, siamo all’11esimo posto nel mondo per competenze su cybersicurezza e privacy online.

Proprio in risposta alla crescente minaccia cibernetica, il 17 gennaio 2023 l’Unione europea ha introdotto la Direttiva NIS2 cybersecurity che richiede nuovi obblighi di sicurezza informatica per un vasto numero di imprese, chiamate ad implementare misure di protezione più stringenti, assicurando una gestione efficace dei rischi e una risposta rapida ai cyber incidenti. Nel dettaglio, la NIS2 (Direttiva UE 2022/2555) – che abroga e sostituisce la precedente Direttiva NIS del 2016 nell’ottica di modernizzazione dell’odierno quadro europeo in materia di cybersecurity – amplia il campo di applicazione comprendendo un numero maggiore di settori critici.

La legislazione dell’Ue in materia di sicurezza cibernetica (il decreto legislativo n. 138 del 4 settembre 2024 entrerà in vigore il prossimo 16 ottobre) introduce poi due categorie di soggetti: “essenziali” (società dei comparti energia, trasporti bancario, infrastrutture dei mercati finanziari, sanitario, acqua potabile, acqua reflue, infrastrutture digitali, gestione dei servizi Ict, spazio, pubblica amministrazione) e “importanti” (servizi postali e di corriere, provider digitali, gestione dei rifiuti, fabbricazione, produzione e distribuzioni di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti manifatturiero, fornitori di servizi digitali, ricerca).

Parlando con i numeri, la prima categoria include tutte le società dei settori citati con 250 o più dipendenti, un fatturato di oltre 50 milioni di euro (o un bilancio di 43 milioni di euro); la seconda categoria, invece, comprende le società con più di 50 e meno di 250 dipendenti, un fatturato di oltre 10 milioni di euro (o un bilancio che supera i 10 milioni di euro). Si badi bene: la NIS2 si applica anche alle aziende con meno di 50 dipendenti se forniscono un servizio essenziale in uno Stato membro dell’Ue, se il loro servizio è determinante per la sicurezza pubblica, la sicurezza o la salute oppure se rientrano nella catena di fornitura di un’azienda essenziale o importante.

Cosa prevede la Direttiva NIS2 in Europa

Migliorare la sicurezza cibernetica (misure di protezione più stringenti); gestione dei rischi (strategie per prevenire e rispondere efficacemente agli incidenti); notifica degli incidenti (obbligo di segnalare rapidamente alle autorità competenti); formazione e consapevolezza (promuovere la formazione costante dei dipendenti in materia di cybersecurity). Sono questi i capisaldi della NIS2 in Europa. A Today.it Roberto Di Palma, Ceo di Dpway, azienda di consulenza IT, entra nel dettaglio dei quattro punti in elenco.

“Per poter scongiurare gli errori che comunemente avvengono all’interno delle organizzazioni – fa presente – bisogna intervenire a livello di gestione delle procedure aziendali in ambito sicurezza informatica ed uniformarsi alle direttive previste dalla normativa NIS2 a prescindere dalla sua obbligatorietà. Solo avendo coscienza delle attività da svolgere ed implementando una corretta gestione della sicurezza informatica è possibile, infatti, evitare di incorrere negli errori più comuni”.

Prosegue Di Palma: “Per una formazione strutturata il consiglio è quello di rivolgersi ad operatori del settore, quali aziende specializzate in ambito sicurezza informatica che si aggiornano costantemente per essere al passo con le minacce che sono in continua e costante evoluzione. Da qui, è bene prevedere dei controlli periodici sullo stato di fatto delle aziende interessate per individuare potenziali minacce sin dalle prime fasi o, nei casi peggiori, intervenire su situazioni già compromesse che spesso incautamente molte organizzazioni si trovano, in modo inconsapevole, a dover affrontare”.

Errori più comuni sulla cybersecurity

Per prevenire il più possibile gli attacchi cibernetici, le aziende sono chiamate a ridurre il livello di esposizione al rischio cyber delle strutture. Molte volte, infatti, non è la bravura dei criminal hacker a determinare il danno bensì gli errori (come nel caso dei cyber attacchi alle aziende con le Usb infette) o i pochi investimenti nella sicurezza delle aziende, spesso pubbliche.

A questo proposito, il Ceo di Dpway ribadisce “l’importanza di intraprendere un percorso serio e strutturato di formazione in ambito sicurezza informatica rivolgendosi ad aziende del settore che svolgono un’attività cruciale per innalzare il know-how aziendale sia a livello manageriale sia a livello individuale”. Fermo restando che, prosegue, “la sfida è ardua, poiché anche chi inizia un percorso serio di formazione non può dirsi mai del tutto al sicuro, visto il continuo evolversi delle minacce informatiche che hanno caratteristiche ed attori in costante mutamento”.

Pertanto, non è solo una questione di conformità normativa? “Certo che no – replica Di Palma – ma anche di protezione del business. Un singolo incidente di sicurezza può avere impatti devastanti su reputazione, finanze e operatività aziendale. Per un’impresa, adeguarsi a NIS2 significa sia rispettare la legge sia rafforzare la difesa e la risposta contro le minacce cyber”.

Continua la lettura su: https://www.today.it/tech/direttiva-nis2-e-obblighi-di-sicurezza-per-le-aziende.html Autore del post: Today Fonte: