La governance della supply chain digitale è cruciale nell’attuale contesto politico in cui aumentano le probabilità di attività criminale come conseguenza della frammentazione dell’ordine internazionale. La direttiva Nis2 prova a questo proposito a rafforzare la cybersicurezza nell’Ue, ampliando l’ambito di applicazione a più settori rispetto alla precedente Nis. Richiede misure di sicurezza e segnalazioni rapide degli incidenti, con sanzioni severe. La sua attuazione a livello nazionale dovrà essere completata entro ottobre 2024.
La direttiva Nis2
La direttiva Network and information security 2 (Nis2) mira ad aumentare il livello di sicurezza informatica all’interno dell’Unione europea. Si rivolge a una gamma più ampia di settori industriali rispetto alla precedente direttiva NIS, imponendo l’implementazione di misure di sicurezza informatica e severi requisiti di segnalazione degli incidenti. Attualmente la maturità tra gli Stati membri è diversa e Nis2 non solo richiede alle organizzazioni pubbliche e private di migliorare le loro misure di sicurezza informatica, ma anche ai governi nazionali di stabilire programmi a livello europeo per la collaborazione e la condivisione delle vulnerabilità. Dopo un percorso legislativo durato due anni la direttiva è entrata in vigore il 16 gennaio 2023 e la scadenza per la sua adozione nel diritto nazionale è il 17 ottobre 2024.
La Nis2 è stata progettata principalmente per proteggere le infrastrutture critiche ma si ritiene interesserà tutte le aziende che operano in Europa. Ampliando il suo ambito di applicazione, Nis2 richiede a un maggior numero di imprese e settori di adottare misure di cybersicurezza, con l’obiettivo di rafforzarla e semplificare le segnalazioni, creando inoltre norme e sanzioni coerenti in tutta l’Ue. Si applica alle infrastrutture essenziali, ovvero grandi imprese attive nei settori dell’energia, dei trasporti, bancario, finanziario, sanitario, della gestione delle acque, delle infrastrutture digitali, dell’aerospaziale e della pubblica amministrazione; e a infrastrutture importanti come servizi postali, gestione dei rifiuti, settore chimico, industria alimentare, settore manifatturiero, servizi digitali e istituti di ricerca. Si applica a medie e grandi aziende che impiegano 50 o più lavoratori o che registrano un fatturato di almeno 10 milioni di euro.
Gli obblighi
La direttiva mpone obblighi diretti agli organi di gestione per quanto riguarda l’attuazione e la supervisione della conformità. Le organizzazioni sono tenute a segnalare le minacce informatiche e gli incidenti significativi alle autorità competenti o ai team di risposta agli incidenti di sicurezza informatica. Le entità classificate come essenziali o importanti viste sopra devono produrre e implementare un piano di risposta agli incidenti e riferire annualmente sui progressi. La direttiva delinea specificamente le sanzioni per il mancato rispetto ad un massimo pari a 10.000.000 di euro o al 2% del fatturato annuo globale rispetto all’esercizio finanziario precedente, a seconda di quale sia l’importo maggiore. L’articolo 21 stabilisce che le organizzazioni devono garantire un livello di sicurezza delle reti e dei sistemi informativi adeguato ai rischi posti. Ciò è ulteriormente specificato nell’articolo 25, che incoraggia l’uso di norme europee o internazionali.
Il mancato rispetto dei requisiti della direttiva rappresenta un grave rischio d’impresa che può quindi costare milioni. Le best practice esistenti sono un buon punto di partenza per soddisfare i requisiti, ma il monitoraggio della rete ottimizzato e piattaforme che possano restituire consapevolezza per quanto riguarda le reti industriali potebbero ulteriormente soddisfare i principi di sicurezza chiave della direttiva. Costruire un sistema cyber-resiliente richiede la collaborazione tra produttori, esperti di sicurezza informatica, gruppi industriali e altre parti interessate. Condividendo conoscenze, intelligence e risorse, le aziende possono migliorare la loro capacità collettiva di prevedere, prepararsi e rispondere alle minacce informatiche che sempre maggiormente si manifestano nel mondo contemporaneo.
Uno dei principali rischi: il cybercrime
Uno studio del 2020 dell’Enisa ha rilevato che le organizzazioni dell’Ue hanno stanziato il 41% in meno per la cybersecurity rispetto alle loro controparti statunitensi. E questo nonostante il fatto che la direttiva Nis fosse in vigore da quattro anni – seppure, come abbiamo visto, la stessa non avesse incluso il settore manifatturiero al contrario di Nis2. Secondo una ricerca di Ibm le organizzazioni impiegano in media 204 giorni per rilevare una violazione: più tempo è necessario per identificare un problema, più a lungo le aziende saranno vulnerabili ai danni.
Inoltre, una survey effettuata nel settembre 2023 dal World Economic Forum inclusa nel Global Risks Report 2024 rileva che tra i rischi più probabili per l’anno corrente risulta al secondo posto la disinformazione e la misinformazione generate da intelligenza artificiale, votato dal 53% dei partecipanti, e al quinto posto gli attacchi cibernetici, votato dal 39% dei partecipanti.
Strumenti di difesa, fattore umano ed estensione
Per rispondere alle minacce e all’arretratezza ha ampliato il suo campo di applicazione per incorporare la produzione di alcuni prodotti critici come prodotti farmaceutici, dispositivi medici e prodotti chimici. Una parte del settore manifatturiero deve ora rispettare gli stessi obblighi di altri settori, anche perché è il secondo bersaglio più grande di attacchi ransomware con conseguenze tangibili, portando molte aziende a subire interruzioni della produzione. La direttiva Nis2 sottolinea che le misure di sicurezza devono essere estese non solo all’azienda stessa, ma anche ai suoi fornitori e subappaltatori che giocano un ruolo essenziale nel garantire l’operatività.
Anche l’errore umano continua a rappresentare un punto debole nella sicurezza informatica, con quasi il 75% degli attacchi derivanti da semplici errori. La formazione continua aiuta ad affrontare queste vulnerabilità. Coinvolgendo i dipendenti in esperienze di apprendimento attivo che modellano scenari di minaccia informatica del mondo reale, ogni persona nell’organizzazione può imparare come identificare e prevenire gli attacchi e l’organizzazione può promuovere una cultura cyber più consapevole. È quindi ssenziale che le organizzazioni comprendano appieno le conseguenze negative di eventuali vulnerabilità nella sicurezza della supply chain e sviluppino strategie efficaci. Inoltre, è fondamentale garantire una diffusa consapevolezza dei rischi associati, in particolare per quanto riguarda le infrastrutture critiche o importanti specie in un mondo sempre più digitale.
