di Pierluigi Di Paolo

La sicurezza informatica è diventata al giorno d’oggi un elemento cruciale. L’Italia è uno dei Paesi con maggior attacchi informatici al mondo, basta aprire i giornali ogni giorno, e le conseguenze spesso sono estremamente rilevanti per una azienda. In questo contesto, la Direttiva NIS2 (Network and Information Security) rappresenta un passo significativo verso un’Europa più sicura dal punto di vista digitale. Ma cosa comporta esattamente questa direttiva per le aziende italiane? Quali sono gli obblighi e le misure da adottare?

Che Cos’è la Direttiva NIS2? La Direttiva NIS2, adottata dall’Unione Europea nel 2022, sostituisce la precedente direttiva NIS (Network and Information Security) del 2016. L’obiettivo principale è quello di rafforzare la sicurezza delle reti e dei sistemi informatici all’interno dell’UE, ampliando il campo di applicazione a nuovi settori e introducendo requisiti di sicurezza più stringenti.

Quali sono i settori coinvolti dalla nuova Direttiva? La NIS2 amplia significativamente l’elenco dei settori critici che devono conformarsi ai nuovi standard di sicurezza. Oltre ai settori tradizionali come l’energia, i trasporti, le banche e la sanità, la nuova direttiva include anche settori come la gestione delle acque, i rifiuti, le infrastrutture digitali, l’amministrazione pubblica e il settore alimentare. Le aziende obbligate sono quelle appartenenti a tali settori con più di 10 milioni di fatturato e 50 dipendenti. Ma anche aziende più piccole se appartenti ai settori “essenziali”  o fornitori di aziende rientranti nell’ambito della NIS2 possone esserne impattate.

Le aziende rientranti nei settori critici dovranno adottare una serie di misure di sicurezza specifiche, tra cui molto importante, la Valutazione del Rischio: Le aziende devono effettuare una valutazione periodica dei rischi per identificare le vulnerabilità dei loro sistemi informatici. Ma c’è di più perché quest’obbligo è esteso anche ai loro fornitori più critici, che dovranno essere monitorati perché fonto di importanti rischi informatici posto che gran parte dei più noti grandi attacchi informatici è avvenuto proprio attraverso l’intrusione indiretta via fornitori.

Ma cosa vuol dire intermini pratici? Questo comporta l’ implementazione di misure tecniche (ad es. firewall, sistemi di rilevamento delle intrusioni) e organizzative (ad es. politiche di sicurezza, formazione del personale) per mitigare i rischi identificati. La Gestione degli Incidenti: l’introduzione di procedure per rilevare, gestire e rispondere agli incidenti di sicurezza informatica in modo tempestivo, piani di continuità operativa per garantire il funzionamento dei servizi essenziali in caso di incidenti. Infine l’ obbligo di segnalare gli incidenti significativi alle autorità competenti entro 24 ore dalla loro rilevazione.

In altri termini l’introduzione della NIS2 richiede alle aziende di adottare un approccio più proattivo e sistematico alla sicurezza informatica, che comporteranno maggiori investimenti in sicurezza informatica questo potrebbe includere l’acquisto di nuove tecnologie, la formazione del personale e l’assunzione di esperti in sicurezza informatica. Sarà necessario rivedere e aggiornare le politiche interne di sicurezza, coinvolgendo tutti i dipartimenti aziendali.Le aziende dovranno implementare sistemi di monitoraggio continui per garantire il rispetto delle nuove normative ma soprattutto per garantire una reale difesa efficace contro minacce informatiche.

Cosa si dovrà fare per prepararsi? Per le aziende italiane, prepararsi alla NIS2 significa intraprendere una serie di azioni concrete che passano inevitabilmente per una Valutazione Iniziale della conformità attuale dell’organizzazione aziendale rispetto ai requisiti NIS2.  Un secondo passaggio inportante è quello della Formazione e Sensibilizzazione. Formare il personale su pratiche di sicurezza informatica e sensibilizzare tutti i livelli aziendali sull’importanza della sicurezza, è un passaggio cruciale in quanto l’errore umano, sulla base della nostra ventennale esperienza, è alla base della maggior parte degli attacchi informatici.

Adottare una prassi di Monitoraggio e Revisione Continui. È l’ulteriore tassello da introdurre.Implementare sistemi di monitoraggio continui per rilevare e rispondere rapidamente a eventuali minacce è una prassi divenuta ormai fondamentale per avere un sistema di difesa efficace.

Tutto ciò  considerato Digimetrica ha sviluppato una soluzione, (www.CyberSonar.it), capace di automatizzare buona parte dell’assessment inziale, del monitoraggio continuo della propria azienda e dei fornitori principali, semplificando così l’attività della funzione IT e compliance per affrontare l’implementazone della Direttiva.

Perché è Importante Agire Ora? Non conformarsi alla direttiva NIS2 può comportare sanzioni significative e danni reputazionali, o perfino responabilità personali per i soggetti apicali. Le sanzioni sono simili a quelle previste dal garante della privacy e possono arrivare fino al 4% del fatturato.  Tuttavia, la sicurezza informatica, ci permettiamo di concludere, non deve essere vista solo come un obbligo legale, ma come un investimento strategico per proteggere la propria impresa in un mondo sempre più connesso.

* socio di Digimetrica, una società specializzata in Cybersecurity