Lo scenario dell’industria della cybersecurity è in fermento, alla luce dell’evoluzione normativa in corso in Europa e, di conseguenza, in Italia. Il via al Perimetro nazionale di sicurezza cibernetica e i lavori in corso per l’aggiornamento della norma NIS, ribattezzata nella nuova versione NIS 2.0, hanno un impatto importante sulle aziende. Le imprese, infatti, oggi sono chiamate a elevare i propri standard di sicurezza, il che non significa farlo solo dal punto di vista tecnologico. Serve spesso, soprattutto nelle realtà medio piccole, un cambiamento culturale, una presa di consapevolezza diffusa su quanto la cybersecurity sia oggi un tema della quotidianità.
Normativa Cyber security, lo stato dell’arte in UE
La situazione normativa in materia di cybersecurity si sta evolvendo molto velocemente, perché a valle dei disagi degli ultimi due anni ci si è resi conto che tutta l’infrastruttura su cui si basa la vita comunitaria è sempre più pervaso dal mondo ICT. La cybersecurity è un elemento percepito e riconosciuto come totalmente trasversale in tutti gli aspetti della vita comunitaria. La normativa al riguardo era in pesantissimo ritardo, si sta cercando di ottimizzarla.
Si tratta di una priorità. Ricordiamo che il numero di attacchi negli ultimi anni è esploso. C’è stato un surplus di domanda di accesso alle attrezzature informatiche da casa, con una scarsa conoscenza degli strumenti e dei rischi correlati, per cui tanti si sono trovati a dover lavorare da remoto senza consapevolezza e, di conseguenza, danni sono stati causati perché non si era assolutamente pronti a operare in quel contesto, sia in ambito privato che nella PA. Partendo dalla consapevolezza che la connettività sia diventata parte integrante del nostro vivere, avere un’infrastruttura sicura dal punto di visita cyber ci permette di essere resilienti, per usare un termine stra abusato. Eppure, per i più non c’è percezione di quanto il tema sia importante.
Cosa cambia con la NIS 2.0
Il Perimetro nazionale di sicurezza cibernetica impatta sulla PA, in quanto tratta delle infrastrutture critiche per il funzionamento dello Stato: servizi segreti, organi militari, insomma la PA al suo cuore. Dal canto suo, la NIS è un costrutto normativo che ha tutta una serie di elementi nuovi nel modo in cui è costruita. Di fatto si focalizza nel regolare il rapporto tra PA e privato, un contratto implicito in cui il privato è l’insieme delle aziende che erogano servizi ritenuti essenziali per la collettività. Si tratta di tante realtà che erogano servizi come l’energia elettrica, i trasporti, le telecomunicazioni, gestite da privati o parzialmente tali, dove la governance non è in mano allo Stato. Tali aziende ragionano in termini di profitto, non di Stato, ma sono fondamentali. Con la NIS si va a regolare il livello delle soluzioni da adottare per far sì che dal punto di vista ICT tali realtà siano in grado di resistere ad eventuali attacchi, per continuare a erogare servizi necessari.
È una questione fondamentale, considerando i devastanti impatti che un attacco può avere, per esempio nel caso di ransomware. Le normative, dunque, ci mettono in condizione di ridurre l’impatto di questi pericoli.
È utile ricordare che prima il modo di far legge non considerava natura, dimensione e servizio delle aziende, ma poneva requisiti minimi standard da soddisfare per essere considerati a norma. Tuttavia, la criticità delle informazioni gestite, l’importanza degli impianti, dei servizi, è completamente diversa da ogni realtà: ecco perché la NIS pone un obiettivo di sicurezza conforme al proprio livello di importanza. L’azienda è chiamata a fare un’autovalutazione che il legislatore in seguito monitorerà, riservandosi il diritto di verificare e avvallare le scelte effettuate. Si tratta quindi di un cambio di paradigma totale, che di fatto innalza il livello di sicurezza in generale. Le conseguenze sul mercato sono:
- La responsabilità diventa distribuita. Tutta la supply chain, dal vendor, all’installatore, al consulente per arrivare al cliente finale, è responsabile in solido in caso di incidenti e malfunzionamenti.
- Le linee guida avranno un impatto su tutto il mercato, nonostante la NIS influisca direttamente solo sulle aziende considerate infrastrutture critiche. Chi lavora per le aziende ritenute indispensabili, si dovrà adattare per lavorare in questo contesto. Si creerà un nuovo standard di mercato e il livello di consapevolezza e competenza si alzerà.
Perimetro di sicurezza cibernetica nazionale, come adeguarsi
In questo contesto, adeguarsi non indica semplicemente prevedere un investimento o comprare uno strumento particolare. Adeguarsi a questo nuovo paradigma normativo e culturale, significa partire dalla consapevolezza di doversi informare e affidarsi a un pool di professionisti per non correre rischi, in quanto i contenuti della NIS impongono una collaborazione a tutto campo tra tutti gli operatori di mercato.
Non si può pensare di introdurre in azienda una macchina per proteggere la rete senza poi aggiornarla o spiegare agli utenti come gestire le informazioni che tratta. Sarebbe inutile e si rischierebbe anzi di perdere soldi e reputazione.
Il caso: i consigli di Axis Communications per le aziende
Per far fronte a questi cambiamenti cogliendone le opportunità, Axis Communications consiglia innanzitutto di lavorare sull’acquisizione di consapevolezza. Questo è un punto fondamentale per diffondere il cambiamento culturale comprendendo quanto la cybersecurity sia un tema presente costantemente nel nostro quotidiano al di là di quanto percepiamo, oltre a capire che la sicurezza porta vantaggi non solo noiosi adempimenti da affrontare. Per favorire questo processo di awareness, è importante fare formazione ai propri collaboratori, aggiornarsi, stare al passo con i cambiamenti normativi e tecnologici;
In questo iter, è bene affidarsi a professionisti esperti, che possono davvero dimostrare la loro competenza e siano in grado di accompagnare le aziende nel percorso verso un approccio virtuoso alla sicurezza, diventando dei partner anche per il domani.
L’articolo è parte di un progetto di comunicazione editoriale che Agendadigitale.eu sta sviluppando con Axis Communications
