Home / NIS2 Cybersecurity
Conosci il significato di CYBERSECURITY?
E’ l’insieme delle procedure volte a proteggere sistemi, reti e programmi software da attacchi digitali, mettendo in sicurezza tutte le informazioni aziendali e minimizzando l’impatto di eventuali danni causati intenzionalmente e non.
Sai cosa rischia un’azienda sotto attacco informatico?
L’entità del danno subito a seguito di un attacco può avere portata e conseguenze diverse.
In assenza di backup periodici, la perdita dei dati è sicuramente il danno maggiore a cui è strettamente collegato l’accesso non autorizzato ad informazioni più o meno riservate e l’eventuale loro divulgazione.
Un impatto molto significativo può essere l’infiltrazione di malaware che bloccano processi di elaborazione o interferiscono con il corretto funzionamento di macchine connesse ai sistemi, oppure che modificano o deteriorano dati, falsando output e mandando in tilt procedure e risultati finali.
Vogliamo lasciarti alcuni spunti di riflessione importanti per tutelare le persone, i processi e le informazioni, concludendo con qualche dato significativo che forse non conosci:
- sii consapevole che un attacco informatico non fa distinzioni: il pensiero “a me non succederà”, è uno dei primi parametri sui quali gli hacker professionisti fanno leva;
- scegli di mappare i tuoi sistemi informatici, individuando i possibili punti di intrusione;
- implementa dei sistemi di controllo, non solo per proteggere i tuoi sistemi ma soprattutto per monitorare i tentativi di intrusione: non è sufficiente attivare delle difese, bisogna verificare costantemente che siano all'altezza perchè quello che oggi per te non è un rischio, domani potrebbe diventarlo;
- pianifica la tua formazione e quella del tuo personale in materia di cyber sicurezza: non si tratta solo di fornire un “glossario” tecnico ma soprattutto di adeguare le abitudini di lavoro. Azioni a cui diamo poca importanza, come condividere dispositivi di memorizzazione dati (le classiche chiavi usb) sui PC aziendali, utilizzare password molto semplici e condividerle con i colleghi, lasciare in bella vista documentazione riservata, con dati di accesso ai sistemi aziendali, ecc sono la causa principale delle intrusioni nei sistemi informativi, quindi la principale fonte di danno;
- inserisci nel tuo budget una cifra sostenibile per tenere aggiornati i sistemi informatici aziendali: non aspettare di subire un attacco, potrebbe costarti molto più dell’investimento in sistemi di sicurezza adeguati.
Ed ora qualche dato:
- in Europa almeno 2/3 degli utenti internet ha subito un attacco informatico e il 60% dichiara di non essere in grado di tutelarsi. Il rischio di un attacco cibernetico oggi è considerato il secondo più grande rischio aziendale.
- In Italia il 67% delle imprese rileva un aumento dei tentativi di attacco, oltre il 60% delle aziende ha aumentato il budget per la sicurezza informatica.
- Il 53% delle imprese ha formalizzato la figura del Chief Information Security Officer e l’80% delle aziende dichiara di aver strutturato piani di formazione sui rischi cibernetici.
- Nel 49% delle organizzazioni la gestione del rischio cyber avviene in un processo integrato di risk management aziendale ma solo nel 32% delle aziende vengono applicate metodologie di quantificazione finanziaria del rischio.
- Secondo il recente rapporto CLUSIT emerge una tendenza preoccupante alla crescita degli attacchi con Severity “Critical”, ovvero che hanno causato danni importanti per le vittime, come ingenti perdite economiche, elevate quantità di dati sottratti o il blocco delle operazioni, con gravi conseguenze sull'interruzione di servizi, ritardi nell'operatività dei processi o danni reputazionali.
- la cybersecurity è la principale priorità di investimento nel digitale in Italia ma il rapporto tra spesa in cybersecurity e PIL è pari solo allo 0,10%
Pubblicata nella Gazzetta Ufficiale dell'Unione Europea il 27/12/2022, la Direttiva NIS 2 entra in vigore ad inizio 2023 con l'obiettivo di migliorare la cybersecurity degli Stati Europei, imponendo ad alcune organizzazioni che operano in settori "critici" una serie di OBBLIGHI stringenti. La nuova Direttiva ha abrogato la precedente a partire dal 18/10/2024 e l'Italia ha recepito la Direttiva con il Decreto Legislativo 138/2024.
La nuova Direttiva distingue i Soggetti Essenziali e i Soggetti Importanti, abbandonando la precedente classificazione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD). I soggetti che rientrano nei Settori ad Alta Criticità e negli Altri Settori Critici vengono elencati negli Allegati 1 e 2 Direttiva NIS2.
La Direttiva identifica i soggetti che soddisfino specifici criteri di dimensionamento:
- tutte le grandi imprese dei settori individuati con più di 250 dipendenti, fatturato annuo > 50 milioni euro oppure totale bilancio > 43 milioni euro;
- le medie imprese con dipendenti tra 50 e 250, fatturato tra 10 e 50 milioni di euro oppure totale di bilancio < 43 milioni euro;
- le PA in perimetro con criteri variabili a seconda degli Stati Membri;
- altri soggetti, anche di dimensioni ridotte, specificatamente identificati dalla Direttiva.
- Governance: gli organi di gestione dei soggetti obbligati devono approvare le misure per la gestione dei rischi adottate dall'ente/azienda, seguire la formazione periodica sui temi di cybersecurity e garantire la formazione ai propri dipendenti.
- Risk Management: i soggetti obbligati devono valutare i rischi e attuare le misure tecniche ed organizzative necessarie per la mitigazione dei rischi stessi.
- Supply Chain: i soggetti obbligati dovranno tener conto delle vulnerabilità per ogni fornitore (non solo i fornitori di servizi ICT).
- Controlli e Sanzioni: differiscono in severità a seconda che il soggetto obbligato sia definito "Essenziale" oppure "Importante". La sanzione sarà calcolata sulla base di un importo minimo predefinito oppure di una percentuale del fatturato: massimo 10 milioni di euro o il 2% del totale del fatturato mondiale per i soggetti essenziali; massimo 7 milioni di euro o il 1,4% del totale del fatturato mondiale per i soggetti importanti. In casi gravi, si aggiunge la sospensione o il divieto temporaneo del dirigente/amministratore dal proprio incarico.
E' assolutamente necessario verificare prima di tutto se la propria azienda/ente rientri nell'elenco delle aziende considerate essenziali e/o importanti. Il secondo step, altrettanto importante, è valutare il proprio ivello di conformità come richiesto dalla Direttiva per non essere costretti ad importanti azioni correttive in tempi stretti.
In ogni caso, anche i soggetti non obbligati, devono cogliere questa importante opportunità di tutela del proprio perimetro di sicurezza, raccogliendo spunti importanti che permettano di gestire in futuro i rischi che si troveranno ad affrontare.