La crescente digitalizzazione delle imprese ha portato a un aumento esponenziale delle minacce informatiche. In questo contesto, la cybersecurity è diventata una priorità assoluta per garantire la protezione dei dati e la continuità operativa. Questo articolo esplorerà l’impatto della Direttiva NIS2 e del Regolamento DORA sulle piccole e medie imprese (PMI) italiane, evidenziando le sfide e le opportunità derivanti dall’adeguamento a queste normative.
La Direttiva NIS2.
La Direttiva NIS2, introdotta dall’Unione Europea, mira a rafforzare la cybersecurity a livello comunitario. Sostituendo la precedente Direttiva NIS1, la NIS2 introduce nuovi requisiti per migliorare la resilienza delle reti e dei sistemi informativi. La direttiva amplia il campo di applicazione includendo una gamma più ampia di settori e tipologie di aziende, tra cui le PMI. Inoltre, stabilisce requisiti di sicurezza più stringenti, come l’implementazione di misure di gestione del rischio e la segnalazione tempestiva degli incidenti. Un altro elemento chiave della NIS2 è il rafforzamento della governance aziendale, con l’obbligo per gli organi di gestione di approvare formalmente le misure di gestione del rischio cyber e di garantire la formazione continua del personale.
Il ruolo della governance aziendale.
Un aspetto cruciale per il successo dell’implementazione della NIS2 è il coinvolgimento attivo della governance aziendale. Affinché un progetto funzioni, è necessario che sia compreso, accettato e condiviso. Un manager consapevole dell’importanza di creare un ambiente digitale sicuro e resiliente, e un’organizzazione robusta di fronte alle minacce emergenti e conforme alla normativa, è già a metà dell’opera. Gli organi amministrativi e direttivi sono responsabili dell’implementazione e delle eventuali violazioni delle misure di gestione dei rischi e degli obblighi derivanti dalla normativa. Pertanto, devono seguire corsi di formazione e sensibilizzazione in materia di sicurezza informatica e promuovere la formazione dei dipendenti. Il programma di formazione deve essere adeguato e specifico in base alla posizione dei destinatari, con relatori competenti e dotati di requisiti di professionalità. La partecipazione deve essere obbligatoria e possono essere definiti meccanismi di controllo per verificare il grado di apprendimento raggiunto, come una finta campagna di phishing.
L’importanza del risk assessment.
L’individuazione e la valutazione del rischio, o risk assessment, rappresentano un momento essenziale e imprescindibile. Attraverso l’analisi del sistema di controllo e degli ulteriori fattori endogeni ed esogeni, il risk assessment guida verso l’identificazione, la pianificazione e l’attuazione delle azioni di intervento necessarie a colmare eventuali gap rilevati. Il percorso è finalizzato al raggiungimento di un rischio ritenuto “accettabile”, dove l’incidente è quell’evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati o dei servizi offerti dai sistemi informativi e di rete. La metodologia di valutazione prescelta, pur non obbligatoria, è spesso fondata su una combinazione di impatto e probabilità.
Misure tecniche, operative e organizzative.
Le PMI italiane devono adottare diverse misure tecniche, operative e organizzative adeguate e non standardizzate, ma personalizzate e proporzionate rispetto al profilo di rischio e alle possibili minacce. Tra queste misure troviamo le politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete, la gestione degli incidenti e delle notifiche, la continuità operativa, la sicurezza della catena di approvvigionamento, la sicurezza di acquisizione, sviluppo e manutenzione dei sistemi informativi, le pratiche di igiene e formazione, l’uso della crittografia e cifratura, e la sicurezza e affidabilità del personale. È fondamentale definire un programma d’azione preliminare, individuando obiettivi minimi, responsabilità specifiche e scadenze chiare per potenziare la resilienza informatica e garantire la continuità operativa.
Il regolamento DORA.
Il regolamento DORA (Digital Operational Resilience Act), entrato in vigore il 17 gennaio 2025, stabilisce un framework vincolante e completo relativo alla gestione del rischio delle tecnologie di informazione e comunicazione (ICT) per il settore finanziario dell’UE. Questo regolamento mira ad armonizzare le normative sulla gestione del rischio ICT già esistenti nei singoli Stati membri dell’UE, eliminando le lacune, le sovrapposizioni e i conflitti che potrebbero sorgere tra le normative eterogenee. DORA stabilisce principi e requisiti per la gestione del rischio ICT, inclusi i requisiti per la gestione del rischio di terze parti, e richiede che le entità finanziarie implementino programmi di test di resilienza operativa, che includono test avanzati. La normativa prevede anche requisiti per la gestione degli incidenti ICT e la segnalazione di incidenti significativi alle autorità competenti. Inoltre, promuove la condivisione di informazioni e intelligence sui rischi cyber e introduce un quadro di oversight per i fornitori di terze parti critici nel settore finanziario.
Conclusioni.
La Direttiva NIS2 e il Regolamento DORA rappresentano passi significativi verso una maggiore resilienza operativa digitale per le aziende italiane. L’adeguamento a queste normative richiede investimenti e sforzi, e deve avvenire rapidamente per garantire sicurezza e competitività.
I nostri esperti sono a vostra disposizione per una consulenza personalizzata volta a garantire alla vostra azienda una protezione ottimale dei dati e una continuità operativa veramente efficace.
Foto Designed by Freepik