La direttiva NIS2 come nuovo tassello della GRC

La direttiva NIS2 porta una ventata di cambiamento nel modo di affrontare la cybersicurezza, richiedendo una visione globale e coordinata. Non si tratta solo di tecnologia, ma di responsabilità: il management ne diventa protagonista.
NIS2 GRC

La Direttiva NIS2 rappresenta un passo fondamentale nella strategia di cybersicurezza dell’Unione Europea, ampliando il quadro normativo esistente e integrandosi perfettamente con i principi di Governance, Risk Management e Compliance (GRC).


La Direttiva è attualmente al centro dell’attenzione per diverse ragioni. Innanzitutto, essa rappresenta un aggiornamento significativo della precedente direttiva NIS del 2016, ampliando il suo ambito di applicazione e introducendo requisiti più rigorosi per la sicurezza informatica. Questo cambiamento si rende necessario in un contesto in cui le minacce informatiche sono in continua evoluzione e le infrastrutture critiche necessitano di una protezione più robusta. La direttiva, che è entrata ufficialmente in vigore il 16 ottobre 2024, richiede alle aziende di prepararsi a rispettare i nuovi requisiti di sicurezza e gestione del rischio. Con l’estensione a 15 settori critici, inclusi energia, trasporti, sanità e servizi digitali, un numero significativamente maggiore di organizzazioni dovrà adeguarsi alle normative. Questo ampliamento implica che le aziende devono ora affrontare sfide più complesse nella gestione della cybersicurezza.

Punti Chiave della Direttiva NIS2

Estensione del Campo di Applicazione – La NIS2 coinvolge un numero significativamente maggiore di entità, inclusi operatori di servizi essenziali e fornitori di servizi digitali, con l’obiettivo di proteggere settori critici come energia, trasporti e sanità.

Obblighi di Sicurezza – Le aziende devono implementare misure tecniche e organizzative per gestire i rischi informatici. Questo include la segnalazione tempestiva degli incidenti significativi entro 24 ore e la presentazione di un rapporto dettagliato entro 72 ore.

Integrazione con Altre Normative. La direttiva si allinea con regolamenti esistenti come il GDPR e il DORA, creando un quadro normativo coerente per la protezione dei dati e la resilienza operativa.

Focus sulla Supply Chain – Le organizzazioni devono garantire la sicurezza della propria catena di approvvigionamento, valutando le vulnerabilità dei fornitori e implementando pratiche di sicurezza adeguate.

Implicazioni per il GRC

Un aspetto centrale della NIS2 è l’obbligo per gli organi di gestione delle organizzazioni di approvare le misure di gestione dei rischi adottate. Ciò implica che il Consiglio di Amministrazione deve non solo essere coinvolto nella definizione delle politiche di sicurezza, ma anche ricevere formazione specifica per comprendere i rischi informatici e le loro implicazioni sui servizi offerti. Questa responsabilità diretta dei vertici aziendali segna un cambiamento significativo nel modo in cui la cybersicurezza viene percepita e gestita all’interno delle organizzazioni.

Gestione del Rischio con la NIS2

Nella gestione del rischio prevista dalla NIS2, non si affrontano esclusivamente i rischi “informatici”, come spesso citato, ma si adotta un approccio multirischio. Questo approccio mira ad andare oltre la semplice difesa contro gli attacchi informatici, abbracciando una visione più ampia che include rischi fisici, rischi ambientali, rischi legati alla catena di approvvigionamento e rischi operativi derivanti da errori umani o interruzioni dei processi.
La NIS2 promuove una gestione proattiva del rischio, imponendo alle aziende di effettuare valutazioni continue dei propri rischi e di adottare misure tecniche e organizzative adeguate. Tra le pratiche richieste rientrano l’implementazione dell’autenticazione a più fattori, della crittografia e della sicurezza della catena di fornitura. Questo implica una revisione costante delle vulnerabilità, non solo interne, ma anche estese ai fornitori, affinché ogni anello della catena sia adeguatamente protetto.

Compliance e Sanzioni

Con l’entrata in vigore della NIS2, le aziende devono conformarsi a requisiti specifici entro il 17 ottobre 2024. Le sanzioni per la non conformità possono essere severe, arrivando fino a 10 milioni di euro o al 2% del fatturato annuo globale per le violazioni più gravi. Questo pone una forte pressione sulle organizzazioni per garantire che siano implementate misure adeguate e che ci sia una documentazione chiara delle pratiche di sicurezza.

Audit e Reporting

La NIS2 stabilisce anche requisiti rigorosi per il reporting degli incidenti, obbligando le aziende a segnalare eventi significativi entro 24 ore e a fornire un’analisi dettagliata entro 72 ore.

In conclusione, la Direttiva NIS2 non solo rafforza le misure di sicurezza informatica in Europa, ma funge anche da catalizzatore per l’implementazione efficace dei sistemi GRC. Attraverso una gestione olistica dei rischi e una maggiore responsabilità, le aziende possono migliorare la loro resilienza operativa e proteggere meglio le proprie infrastrutture critiche. Questo approccio integrato è fondamentale per affrontare le sfide crescenti nel panorama della cybersicurezza e garantire un elevato livello di protezione per cittadini e organizzazioni in tutta l’Unione Europea.

I numeri della minaccia alla cybersecurity

Nel 2024, gli attacchi informatici in Europa hanno mostrato un significativo incremento, con diverse forme di minaccia che hanno colpito vari settori. Sono stati registrati oltre 11.079 incidenti informatici nell’Unione Europea, evidenziando un aumento rispetto all’anno precedente. In particolare, il 29% degli attacchi globali ha avuto come obiettivo l’Europa, un incremento rispetto al 23% del 2023. I settori più vulnerabili includono la pubblica amministrazione, che ha subito il 20% degli attacchi, e i settori dei trasporti e delle telecomunicazioni, con un aumento del 45%. Anche il sistema idrico europeo è stato preso di mira, dimostrando la vastità delle minacce.

Gli attacchi nel settore bancario

Il settore bancario europeo ha affrontato un aumento significativo degli attacchi informatici, con il numero di incidenti quasi raddoppiato nel 2023 rispetto all’anno precedente.
Questo incremento è attribuibile a un contesto cibernetico sempre più ostile, caratterizzato da attacchi più sofisticati e aggressivi da parte di stati autoritari e gruppi di cybercriminali.

In particolare, gli attacchi di tipo “distributed denial of service” (DDoS) e i ransomware sono diventati tra le minacce più comuni, con i ransomware che bloccano l’accesso delle banche ai propri dati. Esempi specifici di attacchi nel settore bancario includono incidenti mirati a fornitori terzi di servizi (link interno) che possono compromettere la sicurezza delle banche stesse.

La Banca Centrale Europea (BCE) ha condotto un primo stress test sulla sicurezza cibernetica su 109 banche europee, evidenziando la necessità di migliorare la resilienza e i controlli per mitigare i rischi informatici. Questo test ha messo in luce che le banche devono investire continuamente in sistemi di protezione e gestione degli incidenti per affrontare le crescenti minacce. Inoltre, nel primo semestre del 2024, si è registrato un aumento globale degli attacchi informatici, con l’Europa che ha subito circa il 29% degli attacchi a livello mondiale. Questo dato evidenzia una crescita rispetto al 23% del 2023 e indica che le banche europee devono rimanere vigili e pronte a rispondere a un panorama cibernetico in continua evoluzione.

A rafforzare il quadro NIS2 e la strategia europea per la cybersicurezza, proprio nei giorni scorsi è entrato in vigore il Cyber Resilience Act, (https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act) la prima legislazione dell’UE a imporre obblighi di cybersicurezza per i prodotti con componenti digitali. Mira a garantire maggiore sicurezza attraverso aggiornamenti software e supporto obbligatorio ai consumatori, rendendo più trasparenti i rischi informatici. I prodotti conformi porteranno la marcatura CE e le principali disposizioni saranno applicabili dall’11 dicembre 2027.

Condividi articolo:

Facebook
WhatsApp
Twitter
LinkedIn
Email