Il 2025 è un anno cruciale per la cybersecurity. Diverse normative europee come DORA, NIS2 e Data Act sono già entrate in vigore per rimodellare l’approccio aziendale alla sicurezza informatica, mentre nuove scadenze si avvicinano, tra le quali il Cyber Resilience Act. Le organizzazioni del nostro Paese e in tutta l’Unione devono quindi adoperarsi per adempiere alle prime disposizioni e prepararsi a quelle in arrivo per poter continuare ad operare in sicurezza e conformità. Non tutte le imprese però hanno le risorse necessarie per comprendere le evoluzioni e gli impatti di queste normative sul proprio business e all’interno dell’industria in cui operano, e rischiano di incorrere in violazioni e sanzioni non indifferenti.
Può essere utile quindi fornire una panoramica completa delle prossime scadenze e una guida alle azioni da intraprendere per raggiungere e mantenere la conformità.
Una breve panoramica delle normative
- DORA: in applicazione dal 17 gennaio 2025, si concentra sul settore finanziario, introducendo requisiti stringenti per la gestione del rischio ICT che includono la classificazione degli incidenti di cybersecurity secondo criteri predefiniti, l’esecuzione di test di resilienza periodici, la definizione di piani di disaster recovery e una gestione rigorosa dei fornitori di servizi ICT.
- NIS2: entro il 28 febbraio 2025, le aziende designate come Operatori di Servizi Essenziali (OES) e Fornitori di Servizi Digitali (FSD) devono completare la registrazione al portale ACN e implementare robuste misure di sicurezza tecniche, organizzative e gestionali, proporzionate al profilo di rischio specifico dell’organizzazione. Le stesse aziende devono inoltre impegnarsi a notificare tempestivamente gli incidenti di sicurezza all’ACN e al CSIRT nazionale, oltre a gestire proattivamente la sicurezza della supply chain.
- Data Act: già in vigore dal luglio 2023, il Data Act introdurrà nuove disposizioni di cybersecurity specifiche a partire dal 23 marzo 2025, relative principalmente alle regole di accesso ai dati provenienti da dispositivi IoT per utenti e aziende.
- Cyber Resilience Act: la normativa prevede l’obbligo di segnalazione degli incidenti che sfruttano vulnerabilità dei prodotti a partire dall’11 giugno 2026, e introduce requisiti di sicurezza obbligatori per i prodotti e i software connessi a partire dal 2027. Le aziende dovranno iniziare a prepararsi fin da ora per garantire la conformità entro le scadenze, considerando l’impatto del regolamento sui processi di sviluppo e sulla supply chain.
- Inoltre, è importante tenere conto dell’impatto crescente dell’AI Act, che introdurrà nuove normative specifiche per l’utilizzo dell’intelligenza artificiale. A partire dalla sua entrata in vigore, l’AI Act richiederà alle aziende di adottare rigidi standard di sicurezza e responsabilità nell’uso dell’IA, con particolare attenzione alla trasparenza, alla gestione dei rischi e alla protezione dei dati. Le organizzazioni dovranno implementare misure per garantire che i sistemi di IA siano sicuri, etici e conformi alle normative, evitando rischi legati a potenziali abusi e danni.
Gli effetti sulle imprese: cosa fare per essere conformi
Adeguarsi a questo complesso quadro normativo di cybersecurity richiede un impegno significativo da parte delle aziende, con impatti che si estendono a diverse aree operative e che richiedono un supporto esperto per essere adeguatamente affrontati.
- Valutare l’impatto delle normative sul proprio specifico business: La prima fase comporta valutare come ciascuna azienda è posizionata per rispondere al nuovo quadro normativo. Non si tratta di una semplice checklist, ma è necessario un processo strutturato (Gap Analysis) che analizzi in dettaglio i requisiti di ciascuna normativa e li confronti con lo stato attuale dell’azienda per identificare le aree di non conformità, quantificare il gap e i rischi nascosti, e definire un piano d’azione con priorità e tempistiche. In questa fase, l’inserimento di un consulente esterno o di un esperto specializzato in cybersecurity può essere fondamentale per identificare eventuali gap nascosti e rischi che potrebbero non essere facilmente rilevabili, fornendo una visione esterna e una valutazione imparziale delle vulnerabilità aziendali
- Aumento della complessità e necessità di figure specializzate: Garantire la conformità a queste molteplici normative richiede competenze specializzate in diversi ambiti, tra cui cybersecurity, gestione del rischio, compliance legale, analisi dei processi aziendali e gestione dei progetti. Le aziende dovranno investire in percorsi di formazione per il personale esistente o valutare l’adozione di servizi as a service come DPO, CISO, oppure affidarsi a esperti di sicurezza cloud e analisti di rischio, assicurandosi di definire ruoli e responsabilità chiari e di implementare processi decisionali efficaci.
- Centralità dell’approccio risk-based: Un approccio risk-based è fondamentale per la conformità a tutte le normative menzionate. Le aziende devono essere in grado di identificare le proprie risorse critiche, valutare le minacce e le vulnerabilità a cui sono esposte, e implementare misure di sicurezza proporzionate al livello di rischio, definendo le priorità di intervento. L’adozione di un framework di gestione del rischio può supportare le aziende nell’implementazione di un approccio risk-based strutturato. Va inoltre considerato che la valutazione del rischio non è un’attività una tantum, ma un processo continuo. Bisogna effettuare valutazioni regolari del rischio, con cadenza almeno annuale o in seguito a cambiamenti significativi nell’infrastruttura aziendale, e definire di strategie di mitigazione personalizzate.
- Responsabilità estesa all’intera supply chain: NIS2 e DORA, in particolare, introducono il concetto di responsabilità estesa alla supply chain in materia di cyber security. Questo significa che le aziende non sono più responsabili solo della sicurezza dei propri sistemi, ma anche di quella dei loro fornitori. La novità richiede infatti una revisione completa dei processi di approvvigionamento, l’implementazione di rigorosi controlli di due diligence sui fornitori, la valutazione del loro livello di sicurezza e l’inclusione di clausole specifiche nei contratti che definiscano le responsabilità in materia di sicurezza e resilienza. Sarà quindi necessario un approccio strutturato, proattivo e continuo per garantire la conformità.
- Investire in soluzioni di threat intelligence e adattamento alle minacce: L’adeguamento alle nuove normative richiede investimenti consistenti in tecnologie di sicurezza avanzate, come sistemi di rilevamento e risposta alle minacce (EDR), soluzioni di sicurezza cloud, strumenti per la gestione delle vulnerabilità, piattaforme di threat intelligence e soluzioni per l’automazione della sicurezza. In questo contesto, l’implementazione di un SOC (Security Operations Center) può svolgere un ruolo cruciale, poiché consente un monitoraggio continuo e centralizzato delle minacce, fornendo una risposta tempestiva e coordinata agli incidenti di sicurezza. Implementare un sistema di monitoraggio continuo della sicurezza, utilizzando strumenti di Security Information and Event Management (SIEM) e di threat intelligence per raccogliere, analizzare e correlare le informazioni provenienti da diverse fonti, può aiutare a rimanere aggiornati sulle nuove vulnerabilità, sulle tattiche degli attaccanti e sull’evoluzione del panorama delle minacce e ad adattare le misure di sicurezza in base alle nuove informazioni. Il SOC, con la sua capacità di monitoraggio 24/7, diventa un elemento chiave nell’identificazione precoce delle minacce e nell’automazione delle risposte, riducendo al minimo i tempi di reazione e migliorando la resilienza complessiva dell’organizzazione.
- Maggiore trasparenza, reportistica e comunicazione: Le nuove normative impongono maggiori obblighi di trasparenza e reportistica. Le aziende devono essere in grado di documentare in modo accurato le misure di sicurezza implementate, monitorare l’efficacia dei controlli di sicurezza, notificare tempestivamente gli incidenti alle autorità competenti e comunicare in modo trasparente con gli stakeholder, inclusi clienti, partner e azionisti. Questo richiede l’implementazione di processi e strumenti per la gestione della documentazione, la reportistica e la comunicazione, garantendo la tracciabilità delle attività e la disponibilità delle informazioni richieste dalle autorità. Nella scelta dei servizi gestiti le aziende devono tener conto di questi requisiti.
- Procedure efficaci di gestione degli incidenti: Infine, è necessario definire procedure chiare, dettagliate e testate per la gestione degli incidenti di sicurezza. Queste procedure devono includere la rilevazione, l’analisi, il contenimento, l’eradicazione e il ripristino in seguito a un incidente, nonché la notifica tempestiva alle autorità competenti entro i termini previsti da NIS2. Condurre esercitazioni periodiche di incident response per testare l’efficacia delle procedure e la capacità di risposta del team può garantire una gestione più rapida ed efficace degli incidenti, minimizzando i danni e i tempi di ripristino.
Il 2025 si prefigura come un anno di svolta per la cybersecurity in Europa. Le nuove normative, seppur complesse, hanno come solo obiettivo migliorare la resilienza delle imprese per consentire loro di prosperare in un ambiente sicuro. Approccio proattivo, una strategia solida, investimenti e collaborazione con provider specializzati, in grado di fornire consulenza e soluzioni adeguate, sono cruciali per affrontare il nuovo panorama e trasformare le sfide in opportunità.
