6 minute read time

Normativa e sicurezza: le implicazioni dei nuovi requisiti europei

by   in Cybersecurity

Viviamo in un contesto in cui i trasporti, l'energia, la sanità, le telecomunicazioni, la finanza, la sicurezza, i processi democratici, lo spazio e la difesa dipendono strettamente da sistemi di rete e di informazione sempre più interconnessi. Tutto ciò mentre il panorama delle minacce è aggravato dalle tensioni geopolitiche e gli attacchi dolosi alle infrastrutture critiche non sono più materia di speculazione, ma un rischio globale concreto e di primaria importanza.

L’importanza della sicurezza informatica

Usufruire delle risorse digitali in modo sicuro non è più solo un tema di rischio o legato al desiderio di usufruire dei benefici offerti dall'innovazione, ma rappresenta oggi un requisito essenziale per creare posti di lavoro migliori e più flessibili, disporre di trasporti e agricoltura più efficienti e sostenibili, un accesso più equo ai servizi sanitari, per realizzare la transizione verso un'energia più pulita e per la salvaguardia dei diritti e delle libertà fondamentali, tra cui quello alla privacy, alla protezione dei dati personali e della libertà di espressione e di informazione.

La sicurezza informatica, nel suo ruolo di elemento abilitante imprescindibile per predisporre una connettività di rete e un Internet globale e aperto, si pone alla base della trasformazione dell'economia e della società.

Ciononostante, i Paesi dell’Unione Europea (UE) hanno, finora, molto stentato nel coordinarsi per predisporre una consapevolezza collettiva delle minacce informatiche e non provvedono a raccogliere e condividere sistematicamente le informazioni (incluse quelle disponibili dal settore private) utili per valutare lo stato della sicurezza informatica nell'UE. Non esiste neppure un meccanismo operativo tra gli Stati membri e le istituzioni, le agenzie e gli organi dell'UE da adottare in caso di incidenti informatici o crisi transfrontaliere su larga scala.

La consapevolezza dell’importanza del tema ha, però, recentemente accelerato l’azione dell’Europa orientata a predisporre nuovi strumenti normativi, di investimento e politici.

Tre sono le direzioni principali alla base di questa rinnovata strategia UE:

  1. resilienza, sovranità tecnologica e leadership;
  2. costruzione di capacità operative di prevenzione, dissuasione e risposta;
  3. promozione di un cyberspazio globale e aperto.

A supporto di questa strategia, a partire dalla fine del 2020 è stato erogato a un livello di investimenti senza precedenti a support della transizione digitale e si sono parallelamente fatti anche importati passi in avanti nella direzione delle normative legate alla cybersecurity.

I due esempi più recenti riguardano normative e regolamenti che dovranno essere recepiti dagli Stati membri tra la fine del 2024 e l’inizio del 2025.

Le novità della Direttiva NIS2

La Direttiva UE 2022/2555 solitamente indicata come Direttiva NIS2 (Network and Information Security) rappresenta l’aggiornamento della Direttiva sulle reti e i sistemi informativi (NIS) del 2016 e dovrà essere integrata da tutti i 27 Stati membri dell'UE nelle rispettive legislazioni nazionali entro ottobre 2024. Concepita in risposta a diversi attacchi informatici di portata ampia e molto dannosa, questa direttiva introduce requisiti e controlli di sicurezza più stringenti in materia di cybersecurity e gestione del rischio, tra cui: sicurezza della supply chain, tecnologie di cifratura, sicurezza orientata alle risorse umane, policy di controllo degli accessi e gestione degli asset, accesso Zero Trust (autenticazione a più fattori, autenticazione continua). Inoltre, prevede obblighi più stringenti di segnalazione degli incidenti e impone sanzioni pesanti con la possibilità per gli Stati membri possano applicare multe fino a 10 milioni di euro o al 2% del fatturato annuo (entrate) per determinate violazioni o infrazioni.

La revisione della direttiva mira, tra l’atro, a difendere meglio le organizzazioni considerate “critiche” da rischi legati alla vulnerabilità della supply chain, agli attacchi ransomware e da altre minacce informatiche.

Una delle prime e più importanti novità introdotte dal NIS2 riguarda la sua applicabilità a un più ampio numero di settori industriali, tra cui: fornitori di reti o servizi pubblici di comunicazione elettronica, produzione di prodotti critici (dispositivi medici, computer, elettronica, veicoli a motore), fornitori di servizi digitali (piattaforme di social network, motori di ricerca, mercati online), Servizi postali e di corriere.

A differenza della direttiva originale, i requisiti di sicurezza informatica della NIS2 si applicano non solo alle organizzazioni che operano all'interno della definizione estesa di "critiche" e ai loro dipendenti diretti, ma anche ai subappaltatori e ai fornitori di servizi che le supportano.

Inoltre, la NIS2 si applica a qualsiasi entità che fornisce servizi critici all'interno di un Paese membro dell'UE, indipendentemente dalla sua sede. In altre parole, qualsiasi azienda con sede al di fuori dell'UE potrebbe essere soggetta al NIS2 anche se non ha una presenza fisica nell'UE.

Prepararsi per la NIS2

Alcuni semplici passi concreti per prepararsi alla NIS2 possono essere intrapresi fin da subito, in attesa che gli Stati membri mettano a punto l’impianto normativo.

Tra questi vi sono:

  • identificare, valutare e affrontare i rischi;
  • valutare la propria posizione di sicurezza;
  • adottare misure per salvaguardare l'accesso privilegiato;
  • rafforzare le difese contro il ransomware con l'uso di soluzioni di sicurezza dei privilegi degli endpoint e di rilevamento e risposta (XDR);
  • passare a un'architettura Zero Trust;
  • esaminare la supply chain del software;
  • formalizzare un piano di risposta agli incidenti;
  • educare il personale.

DORA: più sicurezza per il mondo finanziario

Un’altra normativa con cui i Paesi Europei dovranno confrontarsi a breve riguarda l’Operational Resilience Act (DORA), il regolamento dell’Unione Europea sulla resilienza operativa digitale che promuove la convergenza a livello europeo in merito ai requisiti che gli enti finanziari devono adottare per innalzare la sicurezza dei propri sistemi digitali e che diverrà vincolante a partire dal 17 Gennaio 2025.

È importante evidenziare come, anche in questo caso, traspaia evidente l’intenzione di ampliare la portata delle misure di protezione in riconoscimento del fatto che la sicurezza è un tema complesso che riguarda molteplici livelli di integrazione sia a livello tecnologico sia di processi di business.

Per questa ragione DORA non si applica non solo agli enti finanziari tradizionali quali banche, imprese di investimento e assicurazioni, ma anche alle aziende che trattano servizi di cripto-asset e a chi fornisce servizi cloud alle aziende sopra indicate.

DORA richiede alle organizzazioni di implementare una serie di misure che intervengono sul fronte dell’estensione dei requisiti di controllo verso i fornitori critici, una più efficace e puntuale reportistica degli incidenti nonché un'analisi puntuale tra risultati effettivi rispetto ai risultati attesi per identificare strategie, processi, tecnologie o competenze non ottimali o che espongono a vulnerabilità e/o a un incremento del livello di rischio.

Le direzioni d’intervento

Queste azioni ruotano attorno a una serie di aspetti fondamentali che dovranno essere quelli che indirizzeranno le azioni delle organizzazioni.

Il primo fondamentale tema è quello della Governance dell’ICT, che dovrà essere perseguito dalla realtà del mondo finanziario al fine di migliore l’allineamento delle strategie di gestione dei rischi. Requisiti analoghi vengono fatti in relazione all’ICT Risk Management con l’obiettivo di migliorare e armonizzare le regole per la gestione del rischio ICT

Un’importante novità riguarda l’esplicita richiesta di effettuare una serie di test per verificare costantemente il grado di resilienza. Più precisamente, il Capo IV: Test di resilienza operativa digitale  richiede l'esecuzione di una serie completa di test adeguati, tra cui individuazione e valutazione delle vulnerabilità, analisi open source ed esami del codice sorgente.

Inoltre, viene previsto che le entità finanziarie effettuino valutazioni della vulnerabilità prima di ciascuna introduzione o reintroduzione di servizi nuovi o già esistenti e che sottopongono a test tutte le applicazioni e i sistemi critici con cadenza almeno annuale.

L’analisi dei rischi dovrà estendersi anche alle Terze Parti a cui dovrà essere richiesto di armonizzare gli elementi essenziali del servizio attraverso tutte le fasi dell’azione contrattuale: stipula, esecuzione, estinzione e fase post-contrattuale.

La direttiva DORA impone anche specifici obblighi in materia di gestione degli incidenti ICT in accordo a una mappatura specifica e definita dalle Autorità Europee di Vigilanza.

Infine, anche la richiesta di condivisione delle informazioni è inserita nella direttiva lasciando sperare che si tratti di un primo passo verso un processo di interazione tra gli stati membri che diventi auspicabilmente sempre più pervasivo.

Labels:

Identity & Access Mgmt