normative ue

Cyber resilience: una strategia di sicurezza per le aziende

Home Sicurezza digitale
Indirizzo copiato

La cybersecurity non può più essere considerata un tema solo tecnologico: si tratta di una componente cruciale della sicurezza globale, coinvolgendo aspetti economici, politici e sociali. Le nuove normative Ue non a caso impongono alle organizzazioni di adottare un approccio più proattivo e basato sul rischio. Gli aspetti da considerare

Pubblicato il 13 dic 2023
Chiara Chiariello

Consultant di BCG Platinion

Alessandro Miracca

Manager presso BCG Platinion

Francesco Perna

Principal Cyber Security presso BCG Platinion

nis 2

Nell’attuale contesto geopolitico, il cyberspazio è diventato il terreno di minacce e armi in costante evoluzione, di attacchi sempre più numerosi, sofisticati e difficili da contrastare. Per le imprese e le organizzazioni di ogni tipo la digitalizzazione ha reso il cyberspazio fondamentale per svolgere le attività e le operazioni di business.

Cyber resilience act, grande valore per le nostre aziende

Nonostante la sua natura virtuale, ciò che avviene nello spazio cibernetico genera conseguenze tangibili sul tessuto economico, industriale e politico che sfumano i confini tra il reale e digitale e generano ricadute sulle persone e sui diritti fondamentali.

L’accrescere di questa consapevolezza ha messo in luce un importante cambiamento di prospettiva: la cybersecurity non può più essere considerata un tema meramente tecnologico. Si è evoluta da un approccio strettamente informatico a diventare una componente cruciale della sicurezza globale, coinvolgendo aspetti economici, politici e sociali.

La ridefinizione del concetto di cybersecurity in Europa

In risposta a questa crescente complessità e interconnessione, sono emerse regolamentazioni mirate a indirizzare le sfide del cyberspazio. Questi framework normativi rappresentano un tentativo di definire linee guida chiare per la protezione del cyberspazio, diventata una priorità strategica che richiede una collaborazione a livello globale.

In Europa, le autorità di regolamentazione hanno intrapreso un percorso lungimirante che mira a ridefinire il concetto di cybersecurity, integrando alla prevenzione, rilevazione e risposta agli attacchi il concetto di resilienza: la capacità di adattarsi e operare in modo efficace anche in condizioni avverse.

Le tre normative Ue più rilevanti

In particolare, tre sono le normative rilevanti che stanno contribuendo a questo scopo:

  • NIS2 (Network and Information Security Directive): la direttiva si rivolge a infrastrutture critiche e ad operatori di servizi essenziali e importanti. La direttiva mira a rafforzare la resilienza delle organizzazioni interessate attraverso l’introduzione di controlli, misure volte a proteggere infrastrutture critiche e servizi essenziali sulla base delle valutazioni di rischio;
  • DORA (Digital Operational Resilience Act): il regolamento si rivolge agli operatori del settore finanziario e mira a garantire una protezione completa e coesa del settore finanziario, dagli operatori alla supply chain. Così come per la direttiva NIS2, anche il DORA prevede che le decisioni in materia di cyber security siano prese sulla base di concetti legati alle valutazioni di rischio;
  • CER (Critical Entities Resilience): la direttiva si rivolge alle entità considerate critiche per il funzionamento del mercato interno degli stati membri dell’Unione Europea e prescrive l’obbligo di adottare delle misure di sicurezza specifiche per affrontare le tematiche di resilienza in relazione a tutte le minacce, che siano naturali o provocate dall’uomo, accidentali o intenzionali

Dal cyber security al cyber resilience: un cambio di prospettiva

In buona sostanza, il percorso intrapreso dal legislatore ridefinisce le regole della cybersecurity europea. Per i soggetti interessati non è più sufficiente dotarsi di pratiche e contromisure di sicurezza ma è imperativo sviluppare la capacità di mantenere inalterata la continuità dei servizi anche di fronte a condizioni avverse.

L’orientamento adottato dunque dal regolatore introduce un cambio profondo nella dinamica tra infrastrutture critiche, operatori di servizi essenziali e importanti, e il legislatore: non si tratta più di sviluppare le iniziative volte a garantire la conformità a regole uniformi e predefinite, ma si tratta piuttosto di sviluppare un nuovo approccio che spinge i soggetti interessati ad adottare un modello di gestione proattiva della cyber security, trasformandola da un vincolo di compliance ad un elemento essenziale per abilitare e tutelare il business.

Il cambio di orientamento appare ancora più netto ed evidente sotto il profilo delle responsabilità: essa, infatti, non è più circoscritta solo agli aspetti tecnici ed operativi della cyber security, ma si estende agli gli organi di governo, richiedendo una partecipazione diretta nella definizione di strategie e politiche. In virtù dell’estensione del profilo di responsabilità le sanzioni previste dal regolatore non derivano solo dalla mancata osservanza delle regole, ma sono strettamente collegate al profilo di responsabilità dell’azienda e dei suoi organi di governo.

Questo comporta una trasformazione culturale radicale dei soggetti interessati. È fondamentale evolvere l’approccio orientato esclusivamente alla conformità normativa verso una consapevolezza più ampia di ciò che significa proteggere proattivamente le infrastrutture critiche, gli operatori di servizi essenziali e importanti e, di conseguenza, le aziende che le costituiscono nel loro insieme.

Le strategie per un’efficace cyber resilience

I soggetti interessati sono chiamati dunque a sviluppare e attuare una strategia flessibile e capace di adattarsi in funzione del mutevole panorama delle minacce ed in linea con le best practices di settore. La strategia dovrebbe essere sviluppata considerando le seguenti aree.

Governance e organizzazione

Gli organi di gestione e governo hanno un ruolo attivo nella guida delle politiche di gestione dei rischi e nella sorveglianza rispetto all’attuazione dei piani di trattamento. Essi sono investiti delle responsabilità chiave per garantire un approccio strategico e proattivo alla cyber security che tenga in considerazione gli aspetti tecnologici, organizzativi, operativi e umani. Alcune delle iniziative cruciali da sviluppare nell’area sono:

  • La definizione di un modello operativo chiaro e completo che identifichi in modo inequivocabile i ruoli e le responsabilità in ambito cyber security e che consideri adeguatamente i processi di approvazione in particolar modo quelli relativi alle eccezioni rispetto alle politiche di sicurezza.
  • La definizione di un processo strutturato per determinare gli investimenti in cyber security e allocare efficacemente il budget ai fini dell’implementazione dei controlli necessari a garantire il raggiungimento degli obiettivi di cyber resilienza in funzione del panorama delle minacce e dell’analisi dei rischi.
  • La definizione di un processo di monitoraggio del piano di trattamento dei rischi per indirizzare adeguatamente gli obblighi di sorveglianza degli organi di gestione e di governo.
  • Lo sviluppo di piani di formazione che consentano al personale di aumentare la propria consapevolezza delle minacce cyber e delle politiche di sicurezza in vigore all’interno dell’organizzazione.

Gestione dei rischi cyber

Le infrastrutture critiche e gli operatori di servizi essenziali e importanti devono definire un framework per la gestione dei rischi che includa strategie, politiche, procedure e strumenti per valutare adeguatamente l’esposizione e definire i controlli necessari a garantire la continuità dei servizi in condizioni avverse. In questo contesto devono essere realizzate almeno le seguenti iniziative

  • Definizione di un framework dinamico per la gestione dei rischi cyber, che tenga conto del panorama delle minacce e che sia in grado di adattarsi alle sue evoluzioni, per supportare una valutazione approfondita dei rischi che impattano gli obiettivi di sicurezza e resilienza.
  • Definizione di un processo per l’identificazione e la classificazione dei gioielli della corona, insieme alle relative dipendenze, per garantire il massimo livello di protezione e la continuità operativa dei servizi essenziali.
  • Definizione di una strategia di gestione delle crisi che indirizzi chiaramente la predisposizione e l’attuazione del piano di gestione delle crisi, piano di continuità operativa e piano di disaster recovery.
  • Definizione di un processo per la condivisione delle informazioni relative alle minacce per supportare i processi di detection & respond, incident management e threat hunting.
  • Implementazione di controlli di sicurezza avanzati per prevenire gli attacchi informatici, identificare le anomalie e proteggere sistemi e infrastrutture a supporto dell’erogazione dei servizi essenziali. I controlli devono essere sviluppati tenendo in considerazione gli aspetti tecnologici, organizzativi, operativi e umani.

Gestione degli incidenti e reporting

La gestione tempestiva degli incidenti di sicurezza, la classificazione e la segnalazione alle autorità competenti, giocano un ruolo essenziale nella strategia di potenziamento della sicurezza e resilienza delle infrastrutture critiche e dei servizi essenziali. A tal proposito le organizzazioni devono prioritizzare la realizzazione delle seguenti iniziative

  • Definizione di un piano per la gestione degli incidenti che stabilisca chiaramente i soggetti coinvolti nel processo, i relativi ruoli e le relative responsabilità, le politiche per gestire il ciclo di vita dell’incidente, i relativi processi e le procedure per identificare, contenere, eradicare, risolvere, registrare, catalogare e classificare gli incidenti.
  • Definizione di un processo per la segnalazione degli incidenti alle autorità competenti strutturato in base al livello di classificazione, allo scopo di fornire informazioni tempestive e dettagliate sugli eventi critici di sicurezza per le infrastrutture critiche e deve essere strutturato in modo da consentire una risposta rapida e coordinata.

Auditing e test

La verifica, la revisione e la validazione dei controlli di sicurezza costituiscono elementi fondamentali per garantire che le organizzazioni implementino e mantengano misure di sicurezza adeguate al fine di contrastare efficacemente le minacce cyber rilevanti. È essenziale dunque prevedere le seguenti iniziative.

  • Definizione di un piano di audit che stabilisca politiche, processi e procedure per lo svolgimento delle attività di verifica, revisione e validazione dei controlli di sicurezza. Il piano deve inoltre definire le metodologie di convalida e monitoraggio dei piani di rientro sia per i servizi essenziali che per le terze parti rilevanti.
  • Definizione di un piano di test di resilienza con cadenza almeno annuale, da condurre attraverso soggetti indipendenti, sia interni che esterni, sui gioielli della corona. I test devono essere condotti per valutare la capacità di garantire la continuità operativa e il tempestivo ripristino dei servizi essenziali a seguito di eventi o incidenti di sicurezza.
  • Definizione di un piano di Threat-Led Penetration Testing sui gioielli della corona ed i relativi servizi essenziali per validare la capacità di resistere ad attacchi rilevanti nel panorama delle minacce a cui è soggetta l’organizzazione.

Gestione dei rischi derivanti da supply chain e terze parti

L’identificazione e la mitigazione dei rischi presenti nella supply chain e nelle terze parti che interagiscono con le infrastrutture critiche e gli operatori di servizi essenziali e importanti è un elemento imprescindibile per garantire la resilienza dei soggetti interessati. Tali obiettivi possono essere raggiunti attraverso una serie di iniziative

  • Definizione di una strategia di supply chain risk management che indirizzi i processi di identificazione, classificazione, valutazione e mitigazione dei rischi cyber security derivanti dalla supply chain e dalle terze parti, al fine di garantire la sicurezza, la resilienza e l’integrità delle operazioni connesse all’erogazione dei servizi essenziali
  • Definizione di un processo di monitoraggio dei contratti che consenta di valutare i rischi in tutte le fasi del ciclo di vita contrattuale, che comprendono la fase precontrattuale, la stipula, l’esecuzione e l’estinzione
  • Definizione delle clausole da inserire all’interno dei contratti per garantire che la supply chain e le terze parti siano conformi ai requisiti di sicurezza stabiliti dall’organizzazione in ciascuna fase del ciclo di vita contrattuale
  • Definizione delle clausole contrattuali per regolamentare il diritto ad effettuare audit della supply chain e delle terze parti connesse all’erogazione dei servizi essenziali

La trasformazione della funzione cyber security

Il passaggio da una cultura della cyber security a quella della cyber resilience rappresenta un cambiamento epocale per le infrastrutture critiche e gli operatori di servizi essenziali e importanti. Le nuove normative europee impongono alle organizzazioni di adottare un approccio più proattivo e basato sul rischio, che tenga in considerazione la capacità di adattarsi e operare in condizioni avverse. Raggiungere tale ambizione richiede una profonda trasformazione della funzione cyber security che da interlocutore tecnico deve elevarsi a business partner e incorporare i concetti di resilienza attraverso:

  • L’allineamento della strategia di cyber resilience con gli obiettivi di business: la cyber security deve diventare un elemento centrale a sostegno degli obiettivi di business. Bisogna stabilire una profonda sinergia tra le iniziative di cyber security e quelle aziendali per assicurare, oltre alla sicurezza, la continuità operativa
  • L’integrazione della cyber security nella strategia dell’organizzazione: la strategia complessiva deve integrare gli obiettivi di sicurezza e di resilienza. In questo modo la cyber security assume un ruolo proattivo che contribuisce a plasmare la direzione e la crescita complessiva dell’organizzazione, preservandone l’operatività in condizioni avverse
  • L’adozione di un approccio risks based a supporto delle decisioni: la valutazione dei rischi deve includere un’attenta analisi degli impatti e delle attività critiche e deve supportare i processi decisionali. Deve, inoltre, consentire l’allocazione di risorse adeguate alla mitigazione delle minacce e per rispondere ed operare in situazioni avverse
  • Il coinvolgimento sistematico degli organi di gestione e di governo: la responsabilità di garantire la continuità operativa dell’organizzazione e la protezione dei suoi gioielli della corona è affidata agli organi di gestione e di governo. È quindi fondamentale che essi partecipino attivamente alla definizione delle strategie di resilienza guidati da una comprensione approfondita delle sfide e delle azioni necessarie per indirizzarle adeguatamente
  • Lo sviluppo della cultura della sicurezza all’interno e all’esterno dell’organizzazione: è cruciale sviluppare una cultura della sicurezza che permei ogni livello dell’organizzazione e si estenda anche alle terze parti. I piani di formazione devono dunque incorporare gli aspetti di continuità operativa, di gestione delle crisi e devono essere inquadrati in ottica di continuous learning

Cyber resilienza: benefici per le infrastrutture critiche e gli operatori di servizi essenziali

La strategia di cyber resilienza, oltre a rispondere ai requisiti normativi, introduce notevoli benefici per le infrastrutture critiche e gli operatori di servizi essenziali e importanti:

  • Un miglioramento complessivo della capacità di operare in situazioni avverse.
  • Una risposta pronta e tempestiva agli incidenti di sicurezza.
  • Una comunicazione più efficace, trasparente e basata sulla fiducia reciproca tra gli stakeholders e le autorità competenti.
  • Un’ottimizzazione dell’infrastruttura tecnologica a supporto dell’erogazione dei servizi essenziali.
  • Un miglioramento della postura di sicurezza complessiva.
  • Un miglioramento nella gestione delle terze parti coinvolte nell’erogazione dei servizi essenziali.

Conclusioni

Investire nella trasformazione delle organizzazioni per abbracciare i principi della cyber resilienza deve essere considerata una priorità strategica che va oltre gli adempimenti normativi.

Solo in questo modo le organizzazioni potranno continuare a erogare i propri servizi in un contesto in cui le minacce cyber costituiscono un rischio esistenziale per il loro futuro e le cui ricadute hanno impatti rilevanti sulla società, l’economia, l’industria e la politica.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

eCommerce sicuro: norme Ue e strategie di difesa del brand