Associati
Una sfida da trasformare in opportunità
A cura di Antonio Assandri
Negli ultimi anni il panorama della sicurezza informatica è cambiato radicalmente. Anche l’Unione Europea ha manifestato una crescente consapevolezza di questo cambiamento e della minaccia, sempre più concreta, rappresentata dalla criminalità informatica.
Gli organi comunitari hanno, pertanto, deciso di agire con determinazione, attraverso l’introduzione di normative più severe ed omogenee a livello comunitario.
La NIS2 - Direttiva UE 2022/2555 - rappresenta un passaggio fondamentale per migliorare la resilienza delle reti e dei sistemi informativi, grazie a standard più elevati per la cyber security ed al coinvolgimento di una gamma più ampia di settori rispetto alla sua versione precedente, del 2016.
Le Direttive NIS: un passo avanti nella sicurezza digitale
La Direttiva NIS (Network and Information Security) originale, adottata nel 2016, è stata la prima normativa a livello europeo a trattare in modo organico la questione della sicurezza delle reti e dei sistemi informativi.
L’obiettivo della NIS2 è andare oltre, migliorando la capacità degli Stati membri di prevenire, affrontare e rispondere agli incidenti informatici. Per farlo, la direttiva introduce standard comuni per la sicurezza delle reti e dei sistemi informativi, ponendo enfasi su settori cruciali come l’energia, i trasporti, la finanza, la sanità, ma anche i servizi digitali ed il settore manifatturiero.
Perché anche le PMI devono adeguarsi alla NIS2
Perché una piccola o media impresa italiana dovrebbe preoccuparsi di adeguarsi alla NIS2, anche se non opera in settori considerati “strategici”?
Partiamo da uno degli aspetti più discusso della NIS2, quello di obblighi, responsabilità e sanzioni.
A differenza della Direttiva NIS, che lasciava margini più ampi di discrezionalità ai singoli stati membri su come implementare le misure di sicurezza, la NIS2 prevede standard minimi più stringenti. Inoltre, imprenditori e dirigenti aziendali sono ora soggetti a maggiore responsabilità e potrebbero essere direttamente sanzionati in caso di mancata conformità.
Le aziende che non rispettano i requisiti minimi di sicurezza, o che non segnalano gli incidenti entro i tempi previsti, rischiano multe che possono raggiungere il 2% del fatturato annuo globale, o fino a 10 milioni di euro, a seconda di quale delle due cifre risulti più alta.
Ci sono, però, varie altre risposte, molto più interessanti, concrete e convincenti, derivanti, anche, da quanto sopra.
La prima è, forse, la più scontata: la digitalizzazione ha reso tutte le imprese, grandi o piccole, potenziali bersagli per attacchi informatici.
Se fino a qualche anno fa la sicurezza informatica sembrava un tema relegato alle grandi aziende, o alle sole infrastrutture critiche, oggi anche per le PMI diventa cruciale affrontare il tema della cyber security.
Ad esempio, come evidenziato dal Cyber Report 2023 di Assintel Confcommercio, (https://www.assintel.it/wp-content/uploads/2024/04/Assintel-Cyber-Report-2023.pdf) sono proprio le PMI ad essere sempre più oggetto di attacchi ransomware da parte della criminalità informatica.
Forse meno immediata, ma decisamente più significativa, è la considerazione che, nel mondo moderno, è quasi impossibile per le aziende non fare parte di catene di approvvigionamento più ampie e collaborare con altre imprese o enti pubblici. Ciò le espone al fenomeno del cosiddetto “supply chain attack”, un attacco informatico che prende di mira un’azienda attraverso le sue reti di collaborazione e fornitura. Negli ultimi anni, casi del genere si sono moltiplicati, mostrando come una piccola impresa possa essere il punto di accesso per violare reti più complesse.
Per questo motivo, la NIS2 prevede, specificatamente, il concetto di monitoraggio delle terze parti.
Proprio in virtù dei rischi legati al “supply chain attack” ed agli obblighi in merito al monitoraggio delle terze parti, si arriva all’importanza della NIS2 anche per le PMI: saranno, inevitabilmente, i loro clienti a chiedere di adeguarsi alle regole previste dalla direttiva, anche nel caso non fossero direttamente interessate od obbligate a farlo.
L’impatto della NIS2 sulle PMI italiane
Le PMI italiane si troveranno, pertanto, di fronte a nuove sfide che partono dalla necessità di adeguarsi a requisiti di sicurezza più stringenti.
Sfide che comporteranno, per forza di cose, anche investimenti economici e di tempo.
Gli obblighi imposti dalla NIS2 non riguardano, infatti, solo la sicurezza tecnica, ma anche la governance aziendale. Le imprese devono dotarsi di un piano di gestione degli incidenti, formare il personale e predisporre procedure per la segnalazione tempestiva degli attacchi. Inoltre, le autorità nazionali di ciascun Paese membro saranno tenute a monitorare più da vicino l’attuazione delle misure di sicurezza, aumentando la pressione sulle imprese che operano in settori considerati critici. Imprese che, come detto poso sopra, rivolgeranno analoga pressione sulla loro supply chain.
Per adeguarsi alla NIS2, le PMI devono, poi, prevedere una serie di misure pratiche. Tra queste, la formazione del personale rappresenta uno degli elementi più importanti. Molti attacchi informatici avvengono a causa di errori umani, spesso derivanti da una scarsa consapevolezza delle minacce. Formare dipendenti e collaboratori su come riconoscere phishing, malware, o altre tecniche di attacco, è fondamentale per ridurre il rischio.
Un altro passo importante è la creazione di un piano di risposta agli incidenti. Non tutte le aziende possono permettersi un reparto IT dedicato, ma ciò non significa che debbano essere impreparate. Avere un piano di emergenza che stabilisca chi contattare, quali misure adottare e come comunicare con i clienti in caso di un attacco può fare la differenza tra una rapida ripresa e un danno duraturo alla reputazione aziendale.
Infine, investire in strumenti di sicurezza tecnologici è essenziale. Firewall, crittografia dei dati, monitoraggio di dispositivi e reti, adozione di strumenti di autenticazione a più fattori, backup regolari e piani di business continuity sono solo alcune delle misure che anche le PMI possono adottare per proteggersi.
NIS2: da sfida ad opportunità
Come abbiamo visto la direttiva NIS2 rappresenta una sfida per molte PMI italiane.
Allo stesso tempo offre una grande opportunità, per crescere in termini di sicurezza e resilienza. Adeguarsi alle normative europee non deve, quindi, essere visto solo come un obbligo, ma come un passo necessario per proteggere la propria attività in un contesto sempre più digitalizzato ed interconnesso.
Adottare misure preventive e prepararsi adeguatamente può non solo evitare gravi perdite economiche ma, anche, migliorare la fiducia dei clienti ed aumentare la competitività a livello internazionale. Con il supporto di incentivi nazionali ed europei, molte imprese potrebbero trovare nel rispetto della NIS2 l’occasione per rafforzare la propria posizione nel mercato.