AssistenzaConsulenzaHardwareSicurezzaSoftware

NIS2: guida per preparare l’azienda alla Cyber-resilience

Strategie essenziali per garantire la sicurezza digitale

Nell’era digitale, la cyber sicurezza è diventata una priorità per tutte le aziende, indipendentemente dal settore di appartenenza. Una delle sfide più significative resta la mancanza di consapevolezza e di coinvolgimento da parte dei dipendenti. Secondo Gartner entro il 2025 si prevede che il 45% delle organizzazioni subirà attacchi ai software della supply chain. Gli attacchi informatici hanno un impatto crescente, mentre diventa sempre più cruciale la cyber sicurezza, sempre più legata anche al livello di sicurezza del partner più debole della catena.

Il contesto

Si ritiene che entro la fine del 2024 assisteremo ad attacchi di elevata sofisticatezza e impatto scaturiti dall’impiego dell’Intelligenza artificiale (IA) e dal Machine Learning (ML) in grado di causare violazioni dei dati su larga scala. Basti ricordare quanto accaduto lo scorso giugno 2023 con l’attacco alla supply chain del software MOVEit che ha colpito oltre 130 organizzazioni in tutto il mondo, tra cui Shell, Siemens Energy, Schneider Electric, UCLA, Sony, EY, Aer Lingus, PwC, Cognizant e AbbVie, nonché gli studi legali Kirkland & Ellis e K&L Gates. Inoltre, gli esperti del settore ritengono che ci troveremo a gestire cybercriminali che utilizzeranno sempre più vulnerabilità zero-day e tecniche di phishing per orchestrare sofisticati attacchi alla catena di approvvigionamento.. Non a caso, nella Direttiva NIS 2 viene richiesto che i soggetti essenziali e importanti, incaricati di mantenere un alto livello di cybersicurezza all’interno delle loro organizzazioni, debbano sensibilizzare il personale alle minacce informatiche, al phishing o alle social engineering. Ogni persona all’interno dell’organizzazione svolge un ruolo fondamentale nel garantire la sicurezza informatica.

Cosa è la NIS 2?

Mira a stabilire una strategia comune di cybersecurity, elevando i livelli di sicurezza dei servizi digitali su scala europea. Si integra con altre normative e linee guida sulla protezione dei dati e della privacy, come il GDPR, il Regolamento DORA, e il Cyber Resilience Act, per affrontare le minacce informatiche sempre più sofisticate e invasive, che hanno visto un incremento significativo negli ultimi anni in tutti i settori. Basti pensare che l’Agenzia per la cybersicurezza nazionale ha emesso un documento strategico finalizzato a supportare la ricerca e l’innovazione nella cybersicurezza da parte del settore pubblico e privato. È il risultato di un’attività congiunta tra l’Agenzia per la Cybersicurezza Nazionale e il Ministero dell’Università e della Ricerca.

Cosa fare per conformarsi alla direttiva NIS 2?

Per prepararsi all’implementazione della NIS2 le aziende devono iniziare con una valutazione del rischio per pianificare le misure appropriate. È fondamentale stabilire un solido quadro di governance per identificare e documentare ruoli e responsabilità delle principali parti interessate. Un altro aspetto chiave è la formazione regolare dei dipendenti per sensibilizzarli e diffondere pratiche comuni di igiene digitale. Infine, è importante condurre valutazioni periodiche del rischio e controlli di sicurezza regolari per mantenere aggiornate le soluzioni di cybersecurity.

Come si può affrontare questa sfida?

La direttiva NIS 2, il cui recepimento nella legislazione nazionale di tutti i Paesi dell’UE è attesa entro il prossimo 18 ottobre, richiede piani di sicurezza nazionali e team specializzati. E’ innanzitutto necessario attivare processi e momenti di formazione dedicati alla sensibilizzazione e al coinvolgimento attivo dei dipendenti su tematiche legate alla sicurezza informatica, con l’obiettivo di fornire loro gli strumenti necessari per riconoscere, prevenire e gestire le minacce informatiche.

I 5 passi fondamentali da intraprendere

Per semplificare l’implementazione di questa nuova normativa da parte delle organizzazioni italiane è necessario:

  • Verificare l’ambito di applicazione;
  • Definire le misure;
  • Stabilire i criteri di impatto;
  • Valutare l’impatto;
  • Adottare un sistema di gestione dei rischi e della sicurezza delle informazioni.

Identificare i propri punti deboli ed rischi informatici, oltre a garantire la cyber security e la business continuity diventano un must per i CEO delle aziende di tutta Europa. Inoltre, sarà altresì fondamentale prendere coscienza dell’importanza di promuovere una cultura della cyber resilience attraverso una governance robusta.

Sanzioni

La mancata osservanza delle direttive e degli obblighi di comunicazione imposti dalla Direttiva NIS 2 comporta l’imposizione di severe sanzioni. Le aziende che non rispettano le disposizioni possono incorrere in multe fino a 10 milioni di euro o al 2% del fatturato globale. Questa misura evidenzia l’elevato livello di importanza che l’Unione Europea attribuisce alla sicurezza informatica, paragonabile a quello riservato alla protezione dei dati personali.

Conclusioni

Le aziende non devono fare tutto da sole: implementare un piano completo di cybersecurity e cyber resilience è possibile solo con il supporto di un team qualificato in ambito IT che da un lato definirà strategie di innalzamento della sicurezza con nuove soluzioni di gestione delle infrastrutture IT e dall’altro definirà misure di rinforzo della resilienza. Non aspettare che sia troppo tardi per proteggere la tua azienda dalle minacce informatiche.

Identifica oggi i tuoi punti deboli, valuta i rischi e adotta le misure necessarie per garantire la continuità del tuo business. Contattaci subito per una consulenza e assicurati di essere sempre un passo avanti rispetto alle minacce informatiche!