NIS 2: la guida definitiva per preparare la vostra azienda alla resilienza informatica

Strategie fondamentali per garantire la sicurezza digitale

Introduzione

Nell'era digitale, la sicurezza informatica è diventata una priorità per tutte le aziende, indipendentemente dal settore in cui operano. Una delle sfide più significative rimane la mancanza di consapevolezza e coinvolgimento da parte dei dipendenti. Secondo Gartner, entro il 2025 si prevede che il 45% delle organizzazioni subirà attacchi al software della propria catena di fornitura. Gli attacchi informatici stanno avendo un impatto sempre maggiore, rendendo la sicurezza informatica sempre più cruciale, e questa è sempre più legata al livello di sicurezza del partner più debole della catena.

Il contesto

Si ritiene che entro la fine del 2024 assisteremo ad attacchi altamente sofisticati e di grande impatto derivanti dall'uso dell'Intelligenza Artificiale (AI) e del Machine Learning (ML), in grado di causare violazioni dei dati su larga scala. Basti pensare a quanto accaduto nel giugno 2023 con l’attacco alla catena di fornitura del software MOVEit, che ha colpito oltre 130 organizzazioni in tutto il mondo, tra cui Shell, Siemens Energy, Schneider Electric, UCLA, Sony, EY, Aer Lingus, PwC, Cognizant e AbbVie, oltre agli studi legali Kirkland & Ellis e K&L; Gates.

Inoltre, gli esperti del settore ritengono che dovremo affrontare sempre più spesso criminali informatici che utilizzeranno vulnerabilità zero-day e tecniche di phishing per orchestrare sofisticati attacchi alla catena di approvvigionamento.

Non è un caso che la direttiva NIS 2 richieda alle entità essenziali e importanti responsabili del mantenimento di un elevato livello di sicurezza informatica all’interno delle loro organizzazioni di sensibilizzare i dipendenti sulle minacce informatiche, sul phishing o sull’ingegneria sociale. Ogni persona all’interno dell’organizzazione svolge un ruolo cruciale nel garantire la sicurezza informatica.

Cos'è la NIS 2?

Mira a stabilire una strategia comune di sicurezza informatica, innalzando i livelli di sicurezza dei servizi digitali su scala europea. Si integra con altre normative e linee guida sulla protezione dei dati e sulla privacy, come il GDPR, il regolamento DORA e il Cyber Resilience Act, per affrontare minacce informatiche sempre più sofisticate e invasive, che hanno registrato un aumento significativo negli ultimi anni in tutti i settori.

Vale la pena notare che l’Agenzia Nazionale per la Sicurezza Informatica ha pubblicato un documento strategico volto a sostenere la ricerca e l’innovazione in materia di sicurezza informatica da parte dei settori pubblico e privato. È il risultato di un lavoro congiunto tra l’Agenzia Nazionale per la Sicurezza Informatica e il Ministero dell’Università e della Ricerca.

Cosa fare per conformarsi alla direttiva NIS 2?

Per prepararsi all’attuazione della NIS 2, le aziende devono partire da una valutazione dei rischi per pianificare misure adeguate. È essenziale stabilire un solido quadro di governance per identificare e documentare i ruoli e le responsabilità dei principali stakeholder. Un altro aspetto chiave è la formazione regolare dei dipendenti per sensibilizzarli e diffondere pratiche comuni di igiene digitale. Infine, è importante condurre valutazioni periodiche dei rischi e controlli di sicurezza regolari per mantenere aggiornate le soluzioni di sicurezza informatica.

Come affrontare questa sfida?

La Direttiva NIS 2, il cui recepimento nella legislazione nazionale di tutti i paesi dell'UE è previsto entro il 18 ottobre, richiede piani di sicurezza nazionali e team specializzati. È essenziale attivare processi e sessioni di formazione dedicate per sensibilizzare e coinvolgere attivamente i dipendenti sulle questioni di sicurezza informatica, con l'obiettivo di fornire loro gli strumenti necessari per riconoscere, prevenire e gestire le minacce informatiche.

5 passi chiave da compiere

Per semplificare l'implementazione di questa nuova normativa da parte delle organizzazioni italiane, è necessario:

Verificare l'ambito di applicazione;

Definire le misure;

Stabilire i criteri di impatto;

Valutare l'impatto;

Adottare un sistema di gestione dei rischi e della sicurezza delle informazioni.

Identificare i propri punti deboli e i rischi informatici, oltre a garantire la sicurezza informatica e la continuità operativa, diventa un must per gli amministratori delegati delle aziende in tutta Europa. Inoltre, sarà fondamentale riconoscere l'importanza di promuovere una cultura della resilienza informatica attraverso una governance solida.

Sanzioni

Il mancato rispetto delle direttive e degli obblighi di segnalazione imposti dalla Direttiva NIS 2 comporta l'imposizione di severe sanzioni. Le aziende che non si conformano alle disposizioni possono incorrere in multe fino a 10 milioni di euro o pari al 2% del fatturato globale. Questa misura evidenzia l'elevata importanza che l'Unione Europea attribuisce alla sicurezza informatica, paragonabile a quella riservata alla protezione dei dati personali.

Conclusioni

Le aziende non devono fare tutto da sole: l'implementazione di un piano completo di sicurezza informatica e resilienza informatica è possibile solo con il supporto di un team IT qualificato che definisca, da un lato, strategie di miglioramento della sicurezza con nuove soluzioni di gestione dell'infrastruttura IT e, dall'altro, misure di rafforzamento della resilienza. Non aspettate che sia troppo tardi per proteggere la vostra azienda dalle minacce informatiche.

CTA: Identificate oggi stesso i vostri punti deboli, valutate i rischi e adottate le misure necessarie per garantire la continuità della vostra attività. Contattateci per una consulenza e assicuratevi di essere sempre un passo avanti alle minacce informatiche!