07/09/2016

idee

Cosa cambia per le aziende con la direttiva UE su Network and Information Security

Piccinni (Inside Agency): fondamentale è disporre, se non esiste già, di un sistema di risk management che, mettendo al centro la protezione dei dati e delle informazioni, tuteli la reputazione, la competitività e il benessere finanziario della società

Prima la notizia. Roma, 6 lug. (Askanews) - Il Parlamento europeo in seduta plenaria ha adottato oggi la direttiva Network and Information Security (NIS). La direttiva, si legge sul sito dell'UE, rappresenta il primo pacchetto di "regole a livello di Ue sulla sicurezza informatica. L'obiettivo della direttiva è quello di raggiungere un elevato livello comune di sicurezza dei sistemi delle reti e dei sistemi di informazione all'interno dell'Ue, mediante: migliorate capacità di sicurezza informatica a livello nazionale; aumentata cooperazione a livello Ue; gestione dei rischi e obbligo di riportare gli incidenti per gli operatori di servizi essenziali" (in settori critici come l'energia, i trasporti, la salute e la finanza) e fornitori di servizi digitali" (mercati online, motori di ricerca e dei servizi cloud).
Ora toccherà agli Stati membri implementare le nuove norme nei vari ordinamenti nazionali ed identificare gli operatori di servizi essenziali che, assieme ad altri soggetti, dovranno rispettarle. Ne abbiamo parlato con Salvatore Piccinni, Senior Security e Intelligence Analyst di Inside Agency.

Cosa cambia con la direttiva NIS per le aziende?

Si tratta di un cambiamento che testimonia per la prima volta l'attuazione di una strategia da parte dell'Unione Europea che la vede assumere un ruolo di guida e indirizzo, in un sistema integrato in cui sono coinvolti soggetti pubblici e privati, a cui sono affidate precise responsabilità. La direttiva impone un livello minimo di sicurezza per le tecnologie, le reti e i servizi digitali, garantendo parità di condizioni tramite norme armonizzate e impone a tutti gli Stati membri, a società Internet, piattaforme di eCommerce, social network e servizi in materia di trasporti, banche e assistenza sanitaria, oltre agli operatori delle principali infrastrutture, di garantire un ambiente digitale sicuro e affidabile.
A beneficio dei vari attori coinvolti (Istituzioni, cittadini, imprese), la cyber sicurezza entra così a pieno titolo nel lessico europeo e gli Stati membri dovranno affinare le loro "cyber security capabilities" e adottare una strategia nazionale insieme a policy e misure regolamentari adeguate. Oltre ad obblighi per i singoli Stati e la creazione di un Gruppo di cooperazione tra Stati membri per facilitare e supportare le strategie e lo scambio di informazioni, anche per le aziende ci saranno dei cambiamenti.

Infatti le stesse aziende che tendono spesso a non divulgare o minimizzare gli incidenti per non intaccare la fiducia dei consumatori verso le imprese detentrici di dati sensibili dovranno adeguarsi. Sul punto il testo in questione affida una grande responsabilità ai fornitori di servizi essenziali. Per esempio, anche se una società di servizi finanziari, assicurativi o sanitari delega i servizi di cloud computing a terzi, è su di essa che ricade la principale responsabilità in caso di violazione di dati o attacco informatico. La direttiva dovrebbe entrare in vigore dal mese di agosto e gli Stati avranno poi 21 mesi di tempo per recepirla e 6 mesi per identificare gli operatori di servizi essenziali e strategici e i fornitori di servizi digitali previsti dalla direttiva.

Cosa bisogna fare e quali sono le attività per tutelarsi?

Fondamentale per le aziende è quello di disporre, se non esiste già, di un sistema di risk management che, mettendo al centro la protezione dei dati e delle informazioni, tuteli la reputazione, la competitività e il benessere finanziario della società. In seguito ad una ricerca che abbiamo condotto su un centinaio di Security Manager di alcune delle più grandi aziende italiane sopra i 50 milioni di fatturato, abbiamo concluso che più del 50% delle aziende non gode di un sistema di sicurezza adeguato.

Con l'attuazione della direttiva diventerà obbligatorio avere un sistema di sicurezza integrato e ben collaudato. E' importante considerare se la propria organizzazione sia sufficientemente consapevole e preparata a rispondere ai rischi in modo rapido, sicuro ed efficace. Questo significa anche prepararsi, prevedere, anticipare o definire adeguati sistemi di gestione dei rischi. La nostra esperienza e un know how decennale a livello internazionale ci pone in prima linea nella fornitura di servizi che sono stati sviluppati per garantire tranquillità e sicurezza a tutte le multinazionali e ai grandi gruppi aziendali.