La Direttiva NIS2 rafforza i requisiti di sicurezza, razionalizza gli obblighi di reportistica e introduce misure di supervisione più rigide e requisiti di applicazione più rigorosi. Così la NIS2 cambia le modalità con cui le aziende europee affrontano e reagiscono alla cybersicurezza all’interno delle loro organizzazioni.
Roland Singer, VP IT Services di Sharp Europe, esamina nel dettaglio la direttiva NIS2 per le PMI e offre una via alla preparazione necessaria per adottare le nuove misure. La direttiva NIS2 è entra in vigore il 17 gennaio. Entro il 17 ottobre 2024 gli Stati membri dell’Unione Europea dovranno aver emanato le normative di recepimento a livello nazionale
“Le aziende prosperano grazie alla connettività. Che si tratti di scambiare email, partecipare a riunioni, lavorare su reti Wi-Fi aperte o condividere documenti con altri, il mondo è sempre più connesso e aperto al business. Tenendo presente tutto ciò – aggiunge Singer- le piccole e medie imprese (PMI) sono oggi più vulnerabili che mai agli attacchi informatici . Studi hanno dimostrato che le piccole imprese sono più spesso bersaglio del crimine informatico, mentre alcune ricerche di Sharp evidenziano che un terzo (33%) delle aziende europee è stato colpito da un attacco di virus informatico”.
L’aggiornamento NIS2 mira ad ottimizzare la resilienza informatica
Alla luce della crescente minaccia degli attacchi informatici, l’Unione Europea (UE) ha introdotto diverse direttive che rendono essenziale per le aziende ottimizzare la loro resilienza informatica – la capacità di prevenire, resistere e riprendersi dagli incidenti informatici. La prima di queste, la Direttiva sulla Sicurezza delle Reti e dell’Informazione (NIS), è stata introdotta nel 2016 con l’obiettivo di raggiungere un alto livello comune di sicurezza delle reti e dei sistemi informatici in tutte le infrastrutture.
Questa direttiva è stata aggiornata recentemente con l’intento di potenziare ulteriormente la resilienza informatica collettiva dell’UE richiedendo una gestione dei rischi più rigorosa, controlli di sicurezza e audit/test regolari. Sebbene permetta una certa flessibilità a livello nazionale, la NIS2 stabilisce standard di sicurezza informatica a livello UE che rispecchiano le migliori pratiche e gli standard globali. Questo garantirà un livello più elevato di preparazione e difesa contro incidenti informatici che potrebbero potenzialmente interrompere il funzionamento dei servizi essenziali e delle infrastrutture critiche.
La NIS2 mira a raggiungere questo obiettivo introducendo standard e requisiti di cybersicurezza più severi per le organizzazioni, inclusa l’implementazione di politiche di sicurezza informatica, piani di risposta agli incidenti e valutazioni dei rischi regolari. Impone inoltre obblighi di gestione dei rischi e report più rigorosi alle organizzazioni, richiedendo così alle aziende di adottare misure appropriate per gestire i rischi informatici e, soprattutto, segnalare gli incidenti significativi alle autorità nazionali.
Ampliato i settori di applicazione delle regolamentazioni
Inoltre si amplia il campo di applicazione delle regolamentazioni originali includendo più settori ed entità ritenuti essenziali o importanti, quali il settore della pubblica amministrazione, l’energia, la sanità, i servizi digitali, la produzione e distribuzione alimentare, le infrastrutture digitali e la produzione. Il suo ambito di applicazione è quindi più generale e include un’ampia gamma di settori, includendo non solo le aziende nei settori definiti ad “alta criticità” quali energia, trasporti, finanza, salute, ma anche altri fornitori di servizi critici quali quelli digitali, postali, di gestione dei rifiuti e altri servizi essenziali. Questa direttiva introduce misure cruciali per la gestione dei rischi legati alla cybersecurity e obblighi di segnalazione degli incidenti significativi.
Non a caso, oltre a considerare una gamma più ampia di organizzazioni, la NIS2 introduce nuovi controlli e bilanciamenti anche per le piccole imprese. Le piccole e medie imprese (PMI) con oltre 50 dipendenti e un fatturato superiore a 10 milioni di euro sono soggette ai requisiti di cybersicurezza più stringenti della NIS2.
Applicazione a tappeto
Affinché la direttiva funzioni, le aziende europee devono implementare la sicurezza informatica in tutti i punti dell’organizzazione. Una migliore sicurezza può funzionare solo se tutti i dispositivi sono integrati nella strategia di sicurezza informatica. Questo non solo per i dispositivi principali ma anche quelli periferici. Questo aspetto si applica sempre di più ai dispositivi multifunzione (MFP), la cui sicurezza viene ancora trascurata dalla maggior parte delle aziende, come rilevato dalle ricerche di Sharp, secondo cui il 19% delle PMI è stato colpito da una violazione della sicurezza delle stampanti.
Le piccole imprese che rientrano nell’ambito di applicazione della NIS2 dovrebbero adottare diverse misure per prepararsi e conformarsi ai nuovi requisiti di cybersicurezza. In primo luogo, le PMI dovrebbero collaborare con il proprio fornitore di supporto IT per effettuare una valutazione completa dei rischi, al fine di identificare le potenziali vulnerabilità, minacce e aree di miglioramento in tutta l’organizzazione.
Allo stesso modo, l’azienda dovrebbe rivedere e aggiornare contratti e gli accordi sul livello del servizio e altri documenti pertinenti per garantire che supportino i requisiti della NIS2 e definiscano chiaramente le responsabilità e gli obblighi in materia di cybersicurezza.
Una volta completate tutte le valutazioni, è fondamentale sviluppare e implementare politiche e procedure di cybersicurezza in tutta l’azienda. Queste procedure devono allinearsi ai requisiti della NIS2, come le pratiche di gestione del rischio, i protocolli di segnalazione degli incidenti e le misure di sicurezza per le reti e i sistemi informatici.
La sfida per le PMI: eseguire verifiche regolari
La sfida per le aziende non è solo implementare tali misure, ma anche continuare a eseguire verifiche regolari di efficacia, sia sotto forma di scansioni delle vulnerabilità, valutazioni di sicurezza, test di penetrazione o attacchi informatici simulati.
Le minacce informatiche vengono spesso percepite come provenienti esclusivamente dall’esterno dell’azienda. Tuttavia è importante capire che la maggior parte delle violazioni della sicurezza informatica è causata principalmente da errori umani piuttosto che da guasti tecnologici. Di conseguenza, un’azienda può rendere la tecnologia sicura quanto necessario, ma se i dipendenti non comprendono come e perché è necessaria la sicurezza, e in che modo vanno gestite le situazioni di pericolo, le policy aziendali potrebbero non essere sufficienti.
La formazione regolare in materia di cybersicurezza e sensibilizzazione dei dipendenti è quindi una parte essenziale della soluzione di cybersicurezza di qualsiasi organizzazione, indipendentemente dalle dimensioni dell’azienda. La formazione garantirà che il personale comprenda la necessità della cybersicurezza e segua le migliori pratiche e istruzioni base per proteggere informazioni e sistemi sensibili.
Adottando misure proattive a garantire che la cybersicurezza sia una priorità e si allinei prontamente ai requisiti della NIS2, le PMI possono proteggersi meglio dalle minacce informatiche garantendo così la continuità aziendale ed evitando, peraltro, potenziali multe o sanzioni per mancata conformità.
