A partire dal 17 ottobre la normativa NIS2, parte del più ampio Cyber Resilience Act approvato dal Parlamento Europeo nel marzo 2024, è entrata in vigore per favorire il rafforzamento e la protezione contro le minacce informatiche di tutti i fornitori di servizi digitali, operatori di servizi essenziali (energia, trasporti, salute, servizi finanziari) ed enti pubblici. Sono quindi oltre 160.000 le aziende in Europa chiamate a rivedere e potenziare le misure di sicurezza dei loro prodotti.
La Commissione europea prevede che, nei primi anni successivi all’attuazione della NIS2, le organizzazioni dovranno affrontare un aumento massimo del 22% della spesa per la sicurezza informatica e del 12% per quelle che rientrano già nell’ambito di applicazione dell’attuale direttiva. Su questa spinta, si stima che il mercato della cybersecurity in Europa raggiungerà i 60 miliardi alla fine del 2024, fino a toccare i 90 miliardi nel 2027.
Ma cosa sono le Vulnerability Disclosure Policies?
Tra le misure a beneficio della riduzione del rischio informatico, la direttiva NIS2 parla anche di Vulnerability Disclosure Policies (VDP), che, se incentivate, assumono le caratteristiche dei programmi di Bug Bounty e vengono normalmente gestite tramite le stesse piattaforme.
Le VDP hanno l’obiettivo di creare una politica di divulgazione responsabile delle vulnerabilità e di raccoglierle per gli enti e per le aziende in maniera strutturata da parte delle decine di migliaia di hacker etici sparsi per il mondo. Una parte importante di queste politiche è che strutturano una metodologia, definiscono un processo e i corretti ruoli di gestione, creano un dialogo strutturato con la comunità di hacker etici e, in particolare, facilitano la corretta gestione e la risoluzione delle vulnerabilità.
Si parla di “recognised” nel caso in cui i programmi VDP prevedono un riconoscimento all’hacker della vulnerabilità identificata; diventano, invece, “incentivized” nel caso in cui prevedono il pagamento della vulnerabilità e in questo caso assumono le caratteristiche dei programmi di Bug Bounty (dove il “bounty” è appunto il valore pagato all’hacker).
Questi ultimi permettono alle aziende di scoprire e mitigare le vulnerabilità prima che possano essere sfruttate malevolmente, e di migliorare la resilienza dei sistemi accedendo a una vasta rete di talenti in cybersecurity attraverso il crowdsourcing. Secondo UNGUESS, la piattaforma italiana leader del crowdtesting applicato alla cybersecurity, un Bug Bounty Program richiede competenza e dedizione per essere organizzato al meglio.