La Network and Information Security Directive – NIS2 è un passo significativo verso il miglioramento della resilienza e della sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea.
Rispetto a NIS1, NIS2 include nuovi settori critici imponendo misure di sicurezza più rigorose e una gestione del rischio più approfondita perché considerati fondamentali per il funzionamento del sistema economico e sociale. La cybersecurity, di fatto, viene riconosciuta come elemento critico dell’economia e delle società digitali.
Per le PMI, l’implementazione di questa direttiva può sembrare complessa. Come possono affrontarla?
NIS 2, otto consigli per gestire la compliance
Grazie al supporto multidisciplinare di A.P.I. Associazione Piccole e Medie Industrie e seguendo alcuni consigli pratici, è possibile gestire anche questa nuova sfida come un’opportunità!
Di seguito otto consigli per affrontare la Direttiva NIS2 come un’opportunità e con consapevolezza.
Essere informati e consapevoli
NIS2 si rivolge principalmente alle grandi e medie imprese che operano in settori essenziali e critici (come l’energia, i trasporti, la sanità, le infrastrutture digitali, etc…).
Non sono però necessariamente escluse le aziende più piccole o che non rientrano direttamente nelle categorie individuate come “essenziali”.
Sono ad esempio interessate dalla NIS2, indipendentemente dalle dimensioni, anche i prestatori di servizi fiduciari e le imprese collegate a soggetti essenziali o importanti, quando forniscono, per esempio, servizi ICT o di sicurezza, anche gestiti, a tali soggetti.
Saranno introdotte delle sanzioni penali, ogni Stato Membro definirà le proprie normative specifiche in materia.
È fondamentale comprendere se, come e quanto queste sanzioni impatteranno sulle aziende.
Adottare un approccio strategico
Per garantire la conformità alla Direttiva NIS2, è necessario adottare un approccio strategico che coinvolga tutti i livelli aziendali in ogni fase del processo di adeguamento alla normativa.
Questo approccio deve essere integrato nella cultura aziendale, assicurando che ogni dipendente comprenda l’importanza della sicurezza informatica e il proprio ruolo nel mantenere la conformità.
È fondamentale stabilire un solido quadro di governance per identificare e documentare i ruoli e le responsabilità delle principali parti interessate.
Questo include la definizione di politiche e procedure specifiche, la formazione continua del personale e l’implementazione di sistemi di monitoraggio e controllo per garantire che le misure di sicurezza siano efficaci e aggiornate.
Inoltre, è essenziale effettuare regolari valutazioni del rischio e audit interni per identificare eventuali vulnerabilità e adottare tempestivamente le misure correttive necessarie. Collaborare con esperti esterni e mantenere una comunicazione trasparente con tutte le parti interessate può ulteriormente rafforzare la resilienza dell’azienda contro le minacce informatiche.
Non vedere il problema nella sua complessità
Bisogna, come sempre, trasformare un adempimento in opportunità. NIS2 rappresenta un’occasione per le PMI per verificare la conformità alla normativa sulla privacy, rivedere gli aspetti legali e assicurarsi adeguatamente contro i rischi informatici.
Attenzione alle scadenze
- NIS2 entrata in vigore il 17 gennaio 2023
- NIS2 è stata recepita nell’ordinamento italiano il 17 ottobre 2024
- NIS1 è stata abrogata il 18 ottobre 2024
- L’elenco dei soggetti essenziali e importanti dovrà essere comunicato da parte degli Stati Membri entro il 17 aprile 2025
Il portale per l’iscrizione sarà disponibile indicativamente da metà gennaio 2025, ma è importante che le fasi preliminari di valutazione del rischio (come il test delle vulnerabilità) siano fatte il prima possibile.
Individuare il perimetro tecnologico NIS2
La definizione del perimetro è un’attività propedeutica fondamentale da ponderare attentamente, poiché spetterà poi all’azienda dimostrare la corretta attuazione delle misure tecniche, organizzative e operative previste dalla NIS2, nonché la gestione dei fornitori critici rispetto a questo perimetro.
Sono ricompresi nel perimetro:
- ambienti di produzione;
- ambienti di test e di sviluppo;
- software e applicazioni;
- devices;
- aree di backup.
È molto importante stabilire quali sono i sistemi informatici rilevanti nell’erogazione della fornitura critica e che, se attaccati, potrebbero compromettere le attività di somministrazione.
Per questo è imprescindibile fare un’analisi sulle certificazioni attive ritenute funzionali al progetto, sulle procedure e sulla policy.
E’ importante evidenziare che molte delle soluzioni tecnologiche sono già presenti in azienda, ma potrebbero essere inefficaci se non correttamente configurate; parliamo, ad esempio, di protezione firewall senza aggiornamento o con regole di instradamento non corrette.
Verifica delle procedure cybersecurity e delle prassi
In generale, viene verificata la documentazione formalmente approvata e utilizzata in azienda riguardante le operazioni e le modalità concrete di fornitura sia per l’azienda stessa che per l’utente finale.
È importante ricordare anche le prassi aziendali ovvero la reiterazione costante di comportamenti che si traducono in procedure de facto e che non possono non essere considerate nella gestione della cybersecurity in azienda. Possiamo inserire tra le prassi, ad esempio, le riunioni periodiche sui rischi informatici, le modalità di disattivazione degli accessi degli amministratori di sistema in caso di scadenza del contratto, le modalità di modifica dei profili dei dipendenti in caso di cambi mansioni, etc.
Formazione continua e qualificata dei dipendenti
La formazione regolare dei dipendenti per sensibilizzarli e diffondere pratiche comuni di igiene digitale è imprescindibile. Implementare un piano completo di cybersecurity e cyber resilience, con il supporto di una squadra qualificata con un profondo know-how in ambito IT, consente, inoltre, di migliorare la postura di sicurezza e rafforzare la resilienza. Infine, è importante condurre valutazioni periodiche del rischio e controlli di sicurezza regolari per mantenere aggiornate le soluzioni di cybersecurity.
Il fattore umano è il primo rischio di cui tenere conto, infatti, la maggior parte dei danni sono causati dai comportamenti degli utilizzatori e dalla facilità di cadere nelle trappole dei truffatori.
La formazione continua è, quindi, fondamentale, per dare continue indicazioni sulle nuove tecniche dell’ingegneria sociale.
Avvalersi di consulenti esperti
Non è possibile né sicuro fare tutto in casa senza avvalersi di consulenti esperti. Per questo va definito un budget annuale a disposizione dell’area IT affinché si possano fare gli investimenti necessari e tutelare così l’azienda dai rischi connessi alla cybersecurity e delle possibili sanzioni, che ricordiamo sono anche di carattere penale.
E’ importante tenere presente che i budget non prevedono – nella maggior parte dei casi – importi significativi poiché la tecnologia introdotta negli ultimi anni e la concorrenza degli operatori ha contribuito a contenere i costi.
Sono, inoltre, disponibili agevolazioni a supporto degli investimenti in questo ambito.
Budget, gli aspetti principali da considerare
Gli aspetti principali sono, quindi, 3:
- determinare le misure tecniche, operative e organizzative da implementare;
- identificare i rischi di sicurezza e stabilire la priorità degli interventi per mitigarli;
- definire e consolidare le procedure a supporto delle misure da implementare.
È evidente che l’implementazione della direttiva NIS2 richiede un impegno significativo da parte delle PMI ma, attraverso il supporto associativo, la scelta del giusto consulente, gli investimenti ponderati e tempestivi e seguendo questi consigli, è possibile creare un ambiente più sicuro e resiliente.
La chiave del successo?
Come sempre la consapevolezza, la formazione e un approccio proattivo alla gestione dei rischi.
