Come ormai noto, il 16 ottobre comincerà per le imprese l’obbligo di applicazione della Direttiva NIS2, emanata dall’Unione Europea e tesa al rafforzamento delle procedure di cybersecurity e l’innalzamento delle difese. Vediamo in questo breve approfondimento alcune informazioni riguardo alla normativa e su come è stata recepita fino ad ora dai soggetti interessati.
Innanzitutto, a partire dal 16 ottobre tutte le aziende dovranno effettuare la registrazione su un portale dell’ACN indicando anche quali sono i servizi sensibili coinvolti. Entrando nello specifico, la piattaforma dedicata a questa registrazione chiederà alle aziende alcune informazioni accurate su attività e, appunto, servizi, così come i soggetti coinvolti. Le scadenze per questo accreditamento dipendono dai settori, ad ogni modo il tutto dovrà essere effettuato o eventualmente modificato non oltre gennaio o febbraio prossimi.
La NIS2 non è stata pensata per risolversi coi compiti delle aziende registrate, questo perché coinvolgerà anche tutta la supply chain, ovvero i fornitori, per abbassare ancora di più le probabilità di incorrere in punti vulnerabili. Per dirla in modo più semplice, oltre a controllare che la propria sicurezza venga gestita in modo corretto, le aziende devono assolutamente controllare che anche coloro che forniscono i servizi gestiscano le pratiche di cybersecurity e gli aggiornamenti in modo corretto.
Correlativamente ai propri livelli di rischio, con la NIS2 prevede che le imprese dispongano di responsabili interni alla cybersecurity e sistemi di gestione di eventuali incidenti informatici oltre alla organizzazione obbligatoria di percorsi di formazione periodica dei dipendenti, tematica che come sappiamo rappresenta uno dei punti di maggior debolezza in moltissime realtà aziendali.
La nuova Direttiva non è tuttavia stata accolta con grande favore in UE, visto che secondo diverse interviste fatte ai decisori aziendali viene fuori che soltanto in pochi pensano che possa portare un vero beneficio a livello di sicurezza, ma è anche vero che gli stessi pensano anche che seguire le procedure che verranno imposte avrebbe potuto evitare molti dei problemi di sicurezza avvenuti negli ultimi anni. Secondo i dati, più del 40% delle aziende che verranno coinvolte nella NIS2 hanno subito più di tre attacchi negli ultimi 12 mesi, oltretutto quasi due terzi di essi si è rivelato altamente critico.
Altre preoccupazioni vengono soprattutto dalle scadenze, che per via della scarsa chiarezza avuta finora non potranno probabilmente essere rispettate, così come persistono alcune perplessità riguardo la mancanza di professionisti e budget insufficienti nonostante l’alto livello di sanzioni in caso di non conformità. A livello di operatività aziendale, la NIS2 trascende il livello dei team che si occupano dell’IT ed arriva fino ai dirigenti principali, che però credono sia più importante dare priorità ad altre attività. Questo approccio non è oggettivamente produttivo poiché la Direttiva, seppur nelle difficoltà di applicarla, garantisce sicuramente una maggior protezione, oltre ad essere un grosso vantaggio nei confronti dei potenziali clienti, poiché potranno approcciarsi con la consapevolezza di aver davanti un’impresa che è compliant con la Direttiva.