La direttiva NIS2 è legge anche per l’Italia dallo scorso 16 ottobre. Sulla carta le implicazioni della norma per le aziende, soprattutto quelle che appartengono ai settori strategici, sono numerose. Tuttavia, fra gli addetti ai lavori non si notano particolari preoccupazioni.
NIS2 in pratica: perché la direttiva non ci deve preoccupare
La principale ragione è che si tratta di una direttiva composta principalmente da linee guida, che non fornisce rigide indicazioni su strumenti e soluzioni tecniche (tranne qualche caso) da adottare per essere conformi. Ma c’è di più e per scoprirlo ci siamo fatti aiutare da Massimo Brugnoli, Digital Innovation Director di Project Informatica. «Nella direttiva NIS2 non c’è un dettaglio specifico, ma per lo più indicazioni, di carattere tecnico e procedurale. Anche per questa ragione – tiene a precisare il manager – è praticamente impossibile stilare una vera e propria checklist relativa agli adempimenti necessari per essere compliant».
Who's Who
Massimo Brugnoli
Business Unit Cyber Security Manager di WeAreProject
Ma soprattutto, spiega, nell’approcciarsi alla NIS2 c’è un dato di base da considerare: «Quasi tutte le richieste riguardano aspetti della cybersecurity di cui si parla da anni. Se le avessero messe in pratica in passato, il 99% delle aziende sarebbe praticamente già compliant». La NIS2, insomma, non coglie e non ha colto di sorpresa le aziende che negli anni hanno già compreso il valore dei propri dati e dei propri asset e hanno scelto di proteggerli con buone pratiche di sicurezza.
Serve una protezione intelligente
«Al centro della NIS2 – riprende Brugnoli – troviamo parecchie indicazioni per la gestione della cybersecurity aziendale ‘da buon padre di famiglia’, un approccio che suggerisce un comportamento corretto e di buon senso, a prescindere dall’aspetto tecnico. Nella norma non c’è nulla che abbia meravigliato il mondo». Secondo Brugnoli, l’aspetto più innovativo è il principio di cooperazione sia fra stati sia, a scendere, all’interno del tessuto aziendale, dal momento che la condivisione delle informazioni permette di reagire più in fretta, e questo costituisce un elemento fondamentale per aumentare la resilienza contro le numerose tipologie di attacchi informatici.
Dal punto di vista del manager, risulta al contrario peculiare che ancora molte le aziende si muovano esclusivamente alla luce della direttiva da seguire, mosse solo dalla componente sanzionatoria. «Gli incidenti di sicurezza, nel corso degli anni sempre in aumento per quantità e impatto, sarebbero dovuti bastare per spingere le aziende ad agire – spiega Brugnoli –. In tanti casi, anche noti, i danni sono stati superiori, e di molto, alle possibili sanzioni che un’azienda può ricevere per inadempienza».
La NIS2 in pratica: cosa possono fare le aziende?
Cosa fare, dunque, per evitare le sanzioni? Il primo, fondamentale passaggio che Brugnoli suggerisce riguarda, non a caso, la gestione del cambiamento. «L’obbligo di dichiarare l’incidente in tempi stringenti è una delle preoccupazioni che rileviamo maggiormente: oltre al problema legato all’idea di mettersi a nudo, che crea qualche fastidio in particolare in Italia, servono investimenti per avere la capacità di segnalare un incidente nell’arco di 24 ore e fornire un analisi dettagliata in 72 ore». Oggi lo fanno esclusivamente le realtà già supportate da Security Service Provider come noi, in grado di attuare monitoraggi attivi 24×7.
Una questione analoga riguarda il tema della responsabilità in caso di incidente: laddove finora le erano sempre ascritte al settore IT, la direttiva impone una gestione che interessa anche i ruoli apicali dell’azienda, sia nella progettazione sia nella formazione. «Anche i C-Level di un’azienda dovranno partecipare ai corsi di formazione non ché alla definizione, implementazione e rendicontazione delle misure di sicurezza attuate, in virtù di responsabilità (anche legale) relativa ad eventuali violazioni», spiega Brugnoli. Il parallelo con la componente finanziaria, in cui le responsabilità sono condivise, è naturale.
«Già oggi gli incontri a cui partecipa Project Informatica sono allargati: questo è un merito sicuramente attribuibile alla NIS2, mentre fino a poco tempo fa i tavoli erano esclusivamente tecnici»
Dallo scorso 18 ottobre c’è la possibilità di registrarsi presso l’Agenzia di Cybersecurity Nazionale. Ma molte aziende non sono in ritardo come credono. «In linea di principio, le aziende che hanno gestito bene la cybersecurity finora non devono fare molto, mentre negli altri casi è possibile recuperare terreno attraverso la formazione e l’applicazione di framework già noti, tutte cose per cui Project è ampiamente attrezzata – ci spiega Brugnoli –. I tempi sono stretti ma non è sufficiente agire in fretta: serve anche avere le idee chiare e muoversi in maniera decisa senza troppi tentennamenti».
Un ottimo punto di partenza per le aziende che vogliono rendersi conformi sono senza dubbio le certificazioni. Brugnoli ci spiega che, per esempio, le aziende certificate ISO 127001 sono già praticamente conformi, servono solo alcune integrazioni.
Attenzione al valore dei dati
Brugnoli chiude il suo intervento con una piccola provocazione: «Se un’azienda ha capito il valore dei propri dati negli anni, probabilmente è già compliant e deve solo certificarlo. Dal mio punto di vista non si sottolinea mai abbastanza il reale impatto degli incidenti di sicurezza. Abbiamo purtroppo visto aziende che, subendo attacchi pesanti senza essere minimamente preparate, hanno chiuso i battenti. Chi ha avuto solo un ammanco ed è potuto ripartire, seppur con difficoltà, si può considerare fortunato».
L’invito, quindi, è quello di vedere nella NIS2 non solo un obbligo ma una reale opportunità per raggiungere finalmente corretti livelli di security riducendo, di conseguenza, il rischio di compromettere seriamente il proprio business.
