Luca Iuliano è Comsec Expert. Questo articolo è stato scritto in collaborazione con Marco Pinzaglia, Cybersecurity Expert Infosec
Da molti mesi si parla di NIS2, ossia la direttiva (UE) 2022/2555 sulla cybersicurezza ed in Italia l’argomento ha avuto ancora più attenzione dopo la pubblicazione del Decreto Legislativo n. 138 del 4 settembre 2024, (entrato in vigore il 16 ottobre 2024) che ha recepito la direttiva. La materia è certamente complessa e si prevedono notevoli impatti sulle organizzazioni che dovranno affrontare la compliance a questa normativa. Proprio per questo motivo a novembre 2024 è stata fatta una interrogazione (E-002458/2024) per capire quali saranno le misure che la UE prenderà per alleviare gli oneri normativi e finanziari, in particolare per le Pmi, e quali azioni saranno prese per supportare le aziende più piccole ad essere conformi e mantenere competitività sul mercato globale. Nella risposta della Commissione, arrivata il 10 gennaio scorso, si evince come siano stati già messi a disposizione delle organizzazioni strumenti per aiutarle ad orientarsi e comprendere come applicare la direttiva attraverso sia il Regolamento di esecuzione (UE) 2024/2690 della Commissione recante modalità di applicazione della direttiva (UE) 2022/2555 per quanto riguarda i requisiti tecnici e metodologici…, sia attraverso le pubblicazioni prodotte dall’Agenzia dell’Unione Europea per la Cybersicurezza (Enisa). Inoltre la UE ha avviato un intenso programma di aiuti alle PMI attraverso fondi specifici come Horizon Europe e DEP (Digital Europe Programme). Ovviamente, per le PMI e le organizzazioni in generale italiane avrà un ruolo decisivo l’Agenzia per la Cybersicurezza Nazionale (ACN) con le indicazioni che ha iniziato a fornire e che produrrà in futuro.
Il contesto e cosa fare
Le minacce informatiche continuano ad intensificarsi in Ue (ma non solo), sono sempre più complesse e diffuse, con un aumento delle attività dannose a scapito della Pa e del settore privato. Inoltre i vicini scenari di guerra, quello Ucraino e il conflitto israelo-palestinese hanno a loro volta un impatto significativo anche sul panorama della sicurezza informatica, contribuendo ad un crescente fenomeno di attacchi informatici, di disinformazione e hacktivismo. La NIS2 (Network and Information Security Directive) vuole standardizzare l’approccio alla sicurezza informatica in Ue, ma quali sono gli aspetti principali?
I punti
Come prima cosa capiamo se si rientra o meno nelle condizioni di applicabilità, verificando ad esempio il settore nel quale si opera ed i parametri dimensionali dell’azienda . Qualora si rientri nel perimetro di applicabilità, entro il 28 febbraio ci si dovrà registrare sulla piattaforma messa a disposizione di ACN, un passaggio fondamentale per evitare possibili rischi di sanzioni. Questa è solo la prima scadenza; a questa seguono altre operazioni da svolgere qualora si rientrasse nel perimetro di applicabilità per seguire il percorso di conformità. Come prima cosa ricordiamo che si richiede alle entità coinvolte di adottare un approccio basato sul rischio. Quindi è necessario adottare una metodologia di analisi e gestione dei rischi informatici adeguata alla complessità dell’organizzazione in modo tale che possa essere realmente efficace e non ci si trovi a gestire modelli troppo complessi che risulterebbero un costo gestionale ed organizzativo per le Pmi, distogliendo poi l’attenzione e le risorse dall’implementazione delle misure tecniche di sicurezza. Altro aspetto importante sarà avere un framework organizzativo ed operativo snello ed efficace. Da un punto di vista organizzativo è necessario designare un “punto di contatto” per l’organizzazione e che siano adottate le procedure essenziali, come ad esempio quella di notifica degli incidenti o di gestione della supply-chain. Dal punto di vista delle misure tecnologiche da implementare ci sono elementi che ormai non possono più essere trascurati, come ad esempio la protezione degli accessi attraverso sistemi di autenticazione a più fattori (MFA), la cifratura delle basi dati, etc. Infine, un monitoraggio costante degli aspetti di sicurezza è fondamentale per la protezione dei propri asset. Sarà fondamentale che il mercato sia in grado di offrire servizi di sicurezza, come ad esempio servizi di Security Operation Center (SOC), in maniera adeguata.
