In un precedente post del blog, ho analizzato le due principali aree da sottoporre ad audit prima che la Direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS2) aggiornata dell'Unione europea venga recepita come legge nell'ottobre 2024. Nello specifico, questi audit servirebbero a:

Identificare fin da subito le lacune rispetto ai requisiti della Direttiva NIS2.

Analizzare le attuali criticità di sicurezza della supply chain.

Ora che abbiamo individuato queste criticità di sicurezza, dobbiamo risolverle prima che il tempo a disposizione scada nell'ottobre 2024.

In questo post, quindi, vedremo come affrontare i punti più deboli della vostra sicurezza prima della scadenza della Direttiva NIS2, intervenendo su tre aree chiave:

1. Informare il management sulle lacune e ottenere il budget per colmarle

La Direttiva NIS2 impone obblighi significativi alle organizzazioni che rientrano nel suo ambito di applicazione, con possibili costi e risorse rilevanti. La Direttiva introduce inoltre multe e sanzioni pesanti in caso di non conformità, fino a un massimo di 10 milioni di euro o del 2% del fatturato annuo globale dell'organizzazione (Articolo 34).

Inoltre, in determinate situazioni la nuova Direttiva può estendere la responsabilità dagli enti ai loro rappresentanti individuali. Quando vengono soddisfatte determinate condizioni, le persone in posizioni dirigenziali potrebbero anche essere sospese temporaneamente (Articolo 32-5b).

Pertanto, rispettare la Direttiva NIS2 è una necessità legale e una priorità strategica.

Per essere conformi, è necessario:

  • Informare il management sulle implicazioni e sui vantaggi della Direttiva e convincerlo ad allocare budget e risorse sufficienti per implementare la conformità.
  • Presentare un business case chiaro che illustri i rischi della non conformità, le opportunità della conformità e il ritorno sull'investimento.
  • Dimostrare in che modo la conformità migliorerà reputazione, affidabilità, competitività e resilienza della vostra organizzazione.

Informare il management e ottenere un budget è un compito impegnativo, che richiede un'argomentazione persuasiva e basata su evidenze per dimostrare il valore della cybersecurity per la vostra organizzazione.

Prima avvierete questo processo, più tempo avrete per ottenere il consenso e il supporto del management.

Possibili vantaggi di business case per la conformità alla NIS2

Tra i possibili vantaggi da evidenziare nel business case rientrano:

  • Ridurre i costi operativi prevenendo o minimizzando le perdite dovute agli attacchi informatici, come downtime, violazioni dei dati, pagamenti di riscatti, cause legali e così via.
  • Aumentare i ricavi attirando o fidelizzando clienti che attribuiscono valore a sicurezza, privacy, qualità e altri aspetti.
  • Migliorare l'efficienza semplificando i processi, migliorando le prestazioni, riducendo gli errori e così via.
  • Innovare adottando nuove tecnologie, sviluppando nuovi prodotti o servizi, creando nuovi mercati e altro ancora.
  • Rispettare altre normative o standard di cybersecurity oltre alla NIS2 – come GDPR, ISO 27001, PCI DSS e altri – poiché i framework globali spesso presentano un'elevata sovrapposizione con i requisiti di conformità della NIS2.

Potenziali fonti di informazioni per giustificare il business case di conformità alla NIS2

Alcune fonti che potete utilizzare a supporto del business case sono:

  • Statistiche o dati di fatto che mostrino la diffusione, l'impatto o il costo degli attacchi informatici nel vostro settore o nella vostra area geografica.
  • Casi di studio o esempi che illustrino in che modo altre organizzazioni hanno tratto vantaggio dalla conformità alla Direttiva NIS2 o a normative simili. Ad esempio, il report Enisa NIS Investments 2022 mostra che, per il 62% delle organizzazioni che hanno implementato la precedente Direttiva NIS, tali implementazioni le hanno aiutate a rilevare gli incidenti di sicurezza; per il 21%, le implementazioni hanno supportato il ripristino a seguito di incidenti di sicurezza.
  • Testimonianze o feedback di clienti, partner, autorità di regolamentazione o esperti che sostengono o raccomandano la conformità alla Direttiva NIS2 o a normative simili.
  • Benchmark o indicatori che evidenzino le vostre prestazioni o i vostri progressi attuali o previsti in materia di cybersecurity rispetto alla Direttiva NIS2 o ai concorrenti.
  • Cyberstrategy Tool Kit 2023 di Ivanti per ottenere il consenso interno è anche un'ottima risorsa che spiega tempi di messa in funzione e costi, in che modo una soluzione aiuta a difendersi da determinati tipi di attacchi informatici e come reagire alle obiezioni più comuni e superarle.

Vantaggi aziendali generali della conformità alla Direttiva NIS2

Tra i vantaggi della conformità alla Direttiva NIS2 figurano:

  • Ridurre i costi operativi prevenendo o minimizzando le perdite dovute agli attacchi informatici, come downtime, violazioni dei dati, pagamenti di riscatti, cause legali e così via. Secondo un report di IBM, nel 2022 il costo medio di una violazione dei dati è stato di 4,82 milioni di dollari USA per le organizzazioni di infrastrutture critiche e il tempo medio per identificare e contenere una violazione è stato di 277 giorni. Se adottate misure per conformarvi alla Direttiva NIS2, il tempo medio necessario per identificare e contenere una violazione sarà molto più breve e i costi dell'attacco saranno inferiori.
  • Aumentare i ricavi attirando o fidelizzando clienti che attribuiscono valore a sicurezza, privacy, qualità e fattori simili. Secondo un sondaggio di PwC, l'87% dei consumatori afferma che si rivolgerebbe altrove se non si fidasse delle pratiche di gestione dei dati di un'azienda, e il 71% afferma che smetterebbe di utilizzare i prodotti o servizi di un'azienda se scoprisse che questa condivide i suoi dati senza autorizzazione, eventualità che potrebbe verificarsi in caso di fuga di dati.
  • Migliorare l'efficienza semplificando i processi, migliorando le prestazioni, riducendo gli errori e così via. Accenture ha rilevato che le aziende che adottano tecnologie di sicurezza avanzate possono ridurre il costo della criminalità informatica fino al 48%.
  • Rispettare altre normative o standard che richiedono misure di cybersecurity, come GDPR, ISO 27001, PCI DSS o altri. Cisco sottolinea che il 97% delle organizzazioni conformi al GDPR rileva benefici quali l'acquisizione di un vantaggio competitivo, il raggiungimento dell'efficienza operativa e la riduzione dei ritardi nelle vendite. Risultati simili sono probabilmente ottenibili rispettando la NIS2.

Per quanto riguarda il budget, la proposta di direttiva della Commissione europea (Allegato 7 - 1.4.3) indica che, per le aziende che rientrano nell'ambito del framework NIS2, si stima un incremento massimo del 22% della spesa attuale per la sicurezza ICT nei primi anni successivi all'introduzione del framework NIS2.

Tuttavia, la proposta afferma anche che questo aumento medio della spesa per la sicurezza ICT genererebbe un beneficio proporzionato da tali investimenti, soprattutto grazie a una notevole riduzione del costo degli incidenti di cybersecurity.

2. Implementare correttamente nuove misure di sicurezza organizzative e tecniche

Dopo aver analizzato le lacune e ottenuto un budget, è il momento di colmarle. La Direttiva NIS2 richiede alle aziende di implementare misure organizzative e tecniche adeguate per gestire i rischi di cybersecurity e garantire un elevato livello di sicurezza nelle reti e nei sistemi informativi.

Queste misure includono:

  • Adottare policy e procedure per la gestione del rischio, la risposta agli incidenti, la continuità operativa, la protezione dei dati e così via.
  • Definire ruoli e responsabilità per governance, supervisione, coordinamento e altre aree della cybersecurity.
  • Fornire programmi di formazione e sensibilizzazione per personale, management, clienti e così via.
  • Implementare l'igiene informatica di base come crittografia, autenticazione (MFA), firewall, software antivirus, patching, accesso zero trust e così via.
  • Eseguire test, monitoraggi, audit e altre misure con regolarità.

Implementare queste misure organizzative e tecniche non è un'attività una tantum né statica. Richiede l'istituzione di un processo continuo e dinamico capace di adattarsi all'evoluzione di minacce, tecnologie, normative ed esigenze aziendali.

Per questo processo vale quindi lo stesso consiglio già visto per gli altri punti: prima inizierete, più tempo avrete per implementare le misure necessarie e garantirne efficacia ed efficienza.

Il mio consiglio è iniziare l'implementazione almeno a gennaio 2024, così da essere pronti prima delle ferie estive.

Prossimi passi per le implementazioni della Direttiva NIS2

Alcuni possibili passaggi per implementare misure organizzative e tecniche sono:

  • Sviluppare e implementare un processo di gestione basato sul rischio che definisca obiettivi, ambito, ruoli, responsabilità, risorse, tempistiche e metriche per gestire i rischi di cybersecurity.
  • Implementare una policy di sicurezza che stabilisca principi, linee guida, standard e procedure per garantire la sicurezza delle reti e dei sistemi informativi.
  • Condurre valutazioni del rischio per identificare asset, minacce, vulnerabilità, impatti e probabilità di attacchi informatici; e prioritizzare le azioni in base alla propensione e alla tolleranza al rischio.
  • Implementare controlli di sicurezza che proteggano reti e sistemi informativi da accessi, utilizzi, divulgazioni, modifiche o distruzioni non autorizzati. Questi controlli possono essere classificati in tre categorie: preventivi (ad es. crittografia); investigativi (ad es. monitoraggio) e correttivi (ad es. backup).
  • Implementare un piano di risposta agli incidenti che definisca processi, ruoli, responsabilità, risorse, strumenti e canali di comunicazione per rispondere agli incidenti informatici in modo efficace ed efficiente.
  • Implementare un piano di continuità operativa che definisca processi, ruoli, responsabilità, risorse, strumenti e canali di comunicazione per mantenere o ripristinare i processi aziendali critici durante un'interruzione o un disastro legato alla cybersecurity.
  • Implementare un piano di revisione e miglioramento che definisca processi, ruoli, responsabilità, risorse, strumenti e canali di comunicazione per valutare, segnalare e migliorare regolarmente le misure di cybersecurity.
  • Implementare i controlli tecnici per la gestione degli asset e l'igiene informatica di base.

Il riferimento della Direttiva all'“igiene informatica di base” è piuttosto vago nell'Articolo 21, quindi approfondiremo l'argomento in un altro post del blog. Per ora, considerate misure di sicurezza di base come:

  • MFA.
  • Applicare patch al sistema operativo e alle applicazioni il più rapidamente possibile.
  • Proteggere le connessioni di rete sulle reti pubbliche.
  • Crittografare tutte le unità, in particolare quelle rimovibili.
  • Gestire i privilegi e formare tutti i dipendenti.
  • Iscriversi a canali che forniscono informazioni sulle patch più recenti e sulle priorità, come i webinar Patch Tuesday di Ivanti.

3. Risolvere il punto più debole: trovare il tempo per formare ogni dipendente

La Direttiva NIS2 riconosce che i fattori umani sono cruciali per la cybersecurity e che i dipendenti sono spesso l'anello più debole — oltre che la prima linea di difesa — nella prevenzione o nel rilevamento degli attacchi informatici.

La Direttiva richiede alle organizzazioni di fornire programmi adeguati di formazione e sensibilizzazione ai dipendenti, agli utenti dei servizi digitali e ad altri stakeholder sulle tematiche di cybersecurity.

Formare tutti i dipendenti non è un'attività sporadica né facoltativa. Richiede un programma regolare e completo che copra temi quali:

  • Concetti e terminologia di base della cybersecurity.
  • Minacce informatiche e vettori di attacco comuni.
  • Best practice e consigli per l'igiene informatica.
  • Policy e procedure di cybersecurity, rese pertinenti e semplificate per gli utenti finali.
  • Ruolo e responsabilità di ogni utente per la cybersecurity dell'organizzazione.
  • Come segnalare gli incidenti e rispondere.

È importante notare che questa formazione deve essere ricevuta da tutti all'interno dell'azienda, non solo dal personale IT. Anche il management dovrebbe seguire questa formazione.

Un sondaggio condotto per Ivanti mostra che molti dipendenti non sono nemmeno consapevoli della formazione obbligatoria sulla cybersecurity. Solo il 27% si sente “molto preparato” a riconoscere e segnalare minacce come malware e phishing sul lavoro. Il 6% si sente “molto preparato” a riconoscere e segnalare minacce come malware e phishing sul lavoro.

Nel report NIS Investments 2022 di Enisa, Enisa afferma che il 40% degli OES (Operatori di Servizi Essenziali) intervistati non dispone di un programma di sensibilizzazione alla sicurezza per il personale non IT.

È importante monitorare chi non è ancora stato formato e intervenire di conseguenza. Formare tutti i dipendenti non è utile solo ai fini della conformità, ma anche per produttività, qualità, innovazione e soddisfazione dei clienti.

Il miglior consiglio che possiamo dare sulla NIS2

La Direttiva NIS2 è una normativa di riferimento che mira a rafforzare la cybersecurity dei settori critici nell'UE. Impone obblighi significativi alle organizzazioni che rientrano nel suo ambito di applicazione, insieme a multe e sanzioni pesanti in caso di non conformità.

Rispettare la Direttiva NIS2 è un compito complesso. Richiede un approccio proattivo e completo che coinvolga molteplici fasi, stakeholder e risorse.

Prima inizierete a prepararvi, più sarete pronti quando entrerà in vigore nell'ottobre 2024.

Il miglior consiglio che possiamo offrire? Non aspettate fino ad allora: iniziate subito a prepararvi per la Direttiva NIS2!