La direttiva NIS2 per molti è una novità. Non ha certo avuto il clamore del GDPR o della famosa legge sulla protezione dei dati (la privacy), ma è qui che arriva ed è importante farsi trovare preparati.
Siamo in guerra: questo fa sì che l’Unione Europea si sia sentita in dovere di alzare l’asticella della sicurezza per alcuni settori critici dell’economia comunitaria. Infatti, tali settori possono essere colpiti da cyber attacchi e quindi “azzoppare” alcune aree strategiche delle economie nazionali.
In ragione di ciò è stata emessa la direttiva europea NIS2 che, sostituendo la precedente, entra in vigore alla data di scadenza fissata, ovvero il 17 ottobre 2024.
Vediamo quindi l’impatto della direttiva NIS2 in Italia, nei settori di riferimento e nelle strategie da mettere in atto.
Normativa europea sulla cybersecurity: chi colpirà la NIS2?
La data di partenza della direttiva NIS 2 è dietro l’angolo, anche se le sanzioni partiranno da gennaio 2025.
È quindi il caso di analizzare nel dettaglio cosa dice il dettato normativo, perché, ad un primo sguardo, potrebbe sembrare che molte delle nostre organizzazioni ne siano solo sfiorate, ma la verità è ben diversa.
I settori direttamente coinvolti sono:
- Energia
- Trasporti
- Banche
- Infrastrutture dei mercati finanziari
- Settore sanitario
- Acqua
- Infrastrutture digitali (e qui dentro c’è tutto il mondo cloud)
- Gestione dei servizi TLC
- Pubblica amministrazione
- Difesa
- Spazio
- Poste
- Rifiuti
- Industria alimentare e relativa distribuzione
- Fabbricazione
- Dispositivi medici
- Computer
- Apparecchiature elettriche
- Macchinari
- Autoveicoli
- Ricerca
Leggendo questo elenco molti tireranno un sospiro di sollievo, perché diverse organizzazioni private sembrerebbero escluse.
C’è però una novità fondamentale: il ruolo e il concetto di “fornitore critico”. In sostanza il legislatore della NIS2 ci dice che: chi è soggetto alla norma, deve anche controllare e verificare che i propri fornitori “importanti” la rispettino al suo pari. E allora chi di noi non è un fornitore critico di un’azienda privata o pubblica che rientra nell’elenco?
Ecco, quindi, che improvvisamente ci troviamo tutti calati nel mondo della direttiva NIS2 e della security, scoprendoci, magari, in ritardo.
Cosa fare per evitare le sanzioni della nuova direttiva europea NIS2?
Per rispondere brevemente alla domanda: ancora una volta il legislatore europeo applica come principio base quello dell’accountability, delegando quindi ai titolari e ai responsabili la decisione sul cosa fare.
Stavolta però aggiunge delle specifiche, indicando 10 misure tecnico-organizzative da attuare. Con piacere ho scoperto che quello che racconto da anni sulla visione olistica della protezione dei dati ha centrato nel segno: il buon senso e l’esperienza sono sicuramente la base dalla quale partire.
Infatti, non mi metto a fare il terrorismo delle sanzioni, perché queste cose vanno fatte per cognizione dell’attività imprenditoriale e non per obbligo, partendo dalla constatazione che senza dati non si lavora più e che, ahinoi, siamo in guerra.
Di seguito allora elenco i titoli della direttiva NIS2 sui 10 adempimenti di cybersecurity da ottemperare, e rimando al 3CiME Day specifico che faremo in autunno per ragionare insieme – non per spiegare – su “cosa fare”:
- Politiche di analisi dei rischi e di sicurezza dei sistemi informativi
- Gestione degli incidenti
- Continuità operativa, come backup e ripristino in caso di disastro
- Dimostrabilità della sicurezza della catena di approvvigionamento, includendo le valutazioni del Cybesecurity Act se deciso da Commissione ed ENISA
- Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete
- Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi cyber
- Igiene informatica e formazione in materia cyber
- Politiche di crittografia e cifratura
- Sicurezza delle risorse umane, strategie di controllo di accesso e gestione degli attivi
- Strong authentication continua, comunicazioni vocali, video e testuali protette, sistemi di comunicazione di emergenza protetti
Ripeto la frase che ho inserito nell’ultimo articolo del blog: dobbiamo ricordarci che di fronte al doping che corre, anche il nostro antidoping si deve muovere.
Agli imprenditori dico che, come ho scritto nella nuova versione del mio libro on line – edizione 2023-2024, dobbiamo pensare che se Internet ha razionalizzato e incrementato il nostro business, lo ha anche complicato ed ha generato dei costi che dobbiamo, senza sconti, sostenere. I dati sono il nostro patrimonio.
Rimando anche alle pillole mensili del nostro video blog che porto avanti con il mio socio Max.
Giuseppe Mazzoli
Amministratore Unico di 3CiME Technology
