NIS2: la nuova legge che cambia la cybersicurezza aziendale in Europa
Viscardi: la conformità alla NIS2 è strategica per proteggere gli asset digitali e migliorare la competitività
La direttiva NIS2, entrata in vigore il 17 gennaio 2023 e da attuare in tutti gli stati membri dell'Unione Europea entro il 17 ottobre 2024, introduce una serie di nuovi obblighi in materia di cybersicurezza per le aziende. Questa normativa mira a garantire un livello comune ed elevato di protezione contro gli attacchi informatici, imponendo requisiti stringenti per la gestione dei rischi e la segnalazione di eventuali incidenti.
Marco Viscardi, ICT & Security Account Manager e Business Partner di importanti aziende nel settore Telco e Cybersecurity, sottolinea: "La conformità a questa normativa non si limita a soddisfare un obbligo legale, ma si configura come una pietra miliare strategica per le organizzazioni che cercano di proteggere i loro asset digitali, per migliorare la loro competitività sul mercato e rafforzare la fiducia di clienti, azionisti, fornitori e partner."
L'importanza di questa normativa è evidenziata dai dati allarmanti sugli attacchi informatici. Negli ultimi 5 anni, il numero di attacchi è cresciuto del 60% (Rapporto Clusit 2023), con l'80% degli attacchi rilevati nel 2022 che ha avuto un impatto grave o molto grave, rispetto al 52% di cinque anni fa.
La NIS2 amplia significativamente la platea delle organizzazioni soggette agli obblighi di cybersicurezza. Viscardi precisa: "Moltissime imprese dovranno adeguarsi alle regole imposte della direttiva NIS2: tutte le grandi aziende (che hanno più di 250 dipendenti o un fatturato annuo superiore ai 50 milioni di euro) e le medie imprese (che hanno tra i 50 e 250 dipendenti e un fatturato annuo compreso tra 10 e 50 milioni di euro) saranno chiamate a rispettare i requisiti imposti dalla normativa."
Un aspetto cruciale della NIS2 è il suo effetto a cascata sulla catena di fornitura. Anche le aziende non direttamente coinvolte dovranno adeguarsi alla normativa se fanno parte della catena di fornitura di soggetti interessati. Questo approccio mira a creare un ecosistema di cybersicurezza più robusto e interconnesso.
Viscardi offre alcuni consigli pratici per le aziende che si preparano ad affrontare questa nuova sfida normativa:
- Sviluppare piani di emergenza specifici per cyberattacchi e incidenti informatici, analogamente a quanto già fatto per altre emergenze come incendi o evacuazioni.
- Utilizzare la compliance come opportunità per creare una checklist completa di processi e misure tecniche e organizzative.
- Investire nella formazione del personale per aumentare la consapevolezza sui rischi cyber e sulle best practice di sicurezza.
- Implementare un sistema di gestione della sicurezza delle informazioni (ISMS) allineato con gli standard internazionali come ISO 27001.
- Effettuare regolarmente valutazioni del rischio e test di penetrazione per identificare e correggere le vulnerabilità.
La direttiva NIS2 rappresenta un'opportunità per le aziende di rafforzare la propria posizione in termini di cybersicurezza, migliorando non solo la protezione dei propri asset digitali, ma anche la propria reputazione e competitività sul mercato. Le organizzazioni che abbracceranno proattivamente questi nuovi requisiti saranno meglio posizionate per affrontare le sfide di sicurezza in un panorama digitale sempre più complesso e minaccioso.
Viscardi aggiunge: "Perseguire la compliance alle normative, come ad esempio GDPR o la stessa NIS2, è oggi una straordinaria occasione per avere una checklist di processi e di misure tecniche ed organizzative per rendere la propria azienda veramente resiliente e pronta ad affrontare attacchi e/o altri incidenti informatici."
La preparazione alla NIS2 richiede un approccio olistico che coinvolge diversi aspetti dell'organizzazione:
Governance della sicurezza: Stabilire una struttura di governance chiara con ruoli e responsabilità ben definiti per la gestione della sicurezza informatica.
Gestione del rischio: Implementare un processo continuo di valutazione e gestione dei rischi cyber, includendo la supply chain.
Sicurezza operativa: Adottare misure tecniche e organizzative adeguate per prevenire, rilevare e rispondere agli incidenti di sicurezza.
Reporting degli incidenti: Sviluppare procedure efficaci per la segnalazione tempestiva degli incidenti alle autorità competenti.
Continuità operativa: Elaborare piani di continuità aziendale e di disaster recovery per garantire la resilienza in caso di attacchi.
Formazione e consapevolezza: Investire nella formazione continua del personale su temi di cybersicurezza.
Le aziende che riusciranno a integrare efficacemente questi elementi non solo si troveranno in conformità con la NIS2, ma saranno anche in grado di costruire un vantaggio competitivo significativo. La sicurezza informatica, infatti, sta diventando sempre più un fattore differenziante nel mercato, influenzando la fiducia dei clienti e la capacità di attrarre partnership strategiche.
Viscardi conclude: "La NIS2 non deve essere vista solo come un obbligo normativo, ma come un'opportunità per elevare il livello di maturità della sicurezza informatica dell'intera organizzazione. Le aziende che sapranno cogliere questa sfida trasformeranno la compliance in un asset strategico, migliorando la loro resilienza e la loro capacità di innovare in un ambiente digitale sicuro."
In un contesto in cui gli attacchi informatici diventano sempre più sofisticati e frequenti, la direttiva NIS2 si pone come un pilastro fondamentale per la costruzione di un ecosistema digitale europeo più sicuro e resiliente. Le aziende che sapranno anticipare e abbracciare questi cambiamenti non solo si troveranno in una posizione di vantaggio dal punto di vista normativo, ma saranno anche meglio equipaggiate per affrontare le sfide di sicurezza del futuro, proteggendo i propri interessi e quelli dei loro stakeholder in un mondo sempre più interconnesso e digitalizzato.