Cybersecurity; NIS 2 (e D. Lgs. 38/2024); Standard ISO 27001:2022 e famiglia

Negli ultimi anni, la cybersecurity è diventata una priorità assoluta per le aziende di ogni settore. L’evoluzione delle minacce digitali e l’incremento delle normative in materia di sicurezza informatica, come la direttiva NIS2, il regolamento DORA e gli standard internazionali come ISO/IEC 27001:2022 e il NIST Cybersecurity Framework, richiedono un approccio strutturato e consapevole alla protezione delle informazioni.

Perché è cruciale investire nella cybersecurity?

La cybersecurity non è solo un requisito tecnico, ma un elemento essenziale per garantire la continuità operativa e preservare la fiducia di clienti, partner e stakeholder. Gli attacchi informatici, come ransomware, phishing e violazioni di dati, possono causare:

• Perdite finanziarie significative: Secondo studi recenti, il costo medio di un attacco ransomware può superare i 4 milioni di euro.
• Danni reputazionali: Una violazione dei dati può minare la fiducia dei clienti, con conseguenze dirette sul business.
• Sanzioni legali e normative: La mancata conformità a regolamenti come NIS2 o DORA può comportare multe elevate e restrizioni operative.

Ogni organizzazione dovrebbe sempre curare la sicurezza dei propri sistemi, valutando correttamente il livello di rischio a cui è esposta, le risorse a disposizione e, in conseguenza, le misure protettive necessarie, come ad esempio:

• Protezione di dispositivi e reti da agenti malevoli (Suite di sicurezza)
• Backup periodici automatizzati e centralizzati in loco e in cloud
• Raccolta e monitoraggio dei Log di sistema
• Utilizzo di sistemi di autenticazione sicuri
• Firewall correttamente impostati
• Utilizzo di VPN per connessioni remote e criptazione di database critici
• Vulnerability Assesment e Penetration Test periodici

Non è possibile valutare in autonomia quali misure adottare, perché il rischio è di sottostimare i rischi e non proteggersi o, al contrario, sovrastimarli destinando budget non necessario per strumenti o servizi inutili o inadatti alle proprie specifiche caratteristiche.

Normative vincolanti e standard internazionali: una sintesi

1. Direttiva NIS2 e D. Lgs. 138/2024 di recepimento

La direttiva europea NIS2 (Network and Information Security), applicabile dall’ottobre 2024 grazie al D. Lgs. 138/2024 di recepimento, introduce obblighi per aziende e organizzazioni operanti in settori critici come energia, trasporti, sanità e finanza.

Principali misure previste:

• Responsabilità diretta degli organi amministrativi e direttivi per l’adozione e il rispetto di politiche di sicurezza adeguate
• Valutazione e gestione dei rischi di sicurezza informatica.
• Obbligo di segnalare gli incidenti significativi entro 24 ore.
• Adozione di misure tecniche e organizzative per prevenire e mitigare i rischi.
• Necessità di assicurare la sicurezza di sistemi e informazioni in tutta la propria catena di approvvigionamento (fornitori)

2. Regolamento DORA

Il Digital Operational Resilience Act (DORA) è rivolto principalmente alle istituzioni finanziarie e ai loro fornitori di servizi ICT.
Principali requisiti:

• Definizione di un framework di resilienza operativa digitale.
• Test periodici sulla sicurezza dei sistemi informatici.
• Gestione dei rischi lungo tutta la supply chain digitale.

3. Standard ISO/IEC 27001:2022

L’ISO/IEC 27001 è uno standard riconosciuto a livello globale per la gestione della sicurezza delle informazioni. La versione aggiornata del 2022 si concentra su:

• Analisi e trattamento dei rischi di sicurezza.
• Controlli avanzati per contrastare minacce emergenti.
• Monitoraggio continuo della conformità.

4. NIST Cybersecurity Framework

Il NIST CSF è un modello utilizzato in particolare negli Stati Uniti, ma apprezzato anche a livello internazionale. In Italia è inoltre esistente il Framework Nazionale Cybersecurity, ispirato al Framework NIST.
Principali funzioni:

• Identify: Comprendere i rischi e le risorse critiche.
• Protect: Implementare misure preventive.
• Detect: Rilevare minacce e vulnerabilità.
• Respond: Gestire gli incidenti.
• Recover: Ripristinare rapidamente le operazioni.

Tabella comparativa: NIS2, DORA, ISO 27001 e NIST

Conclusione

Investire nella cybersecurity e rispettare le normative applicabili non è solo una misura di difesa, ma un vantaggio competitivo. Nell’attuale ecosistema socioeconomico è diventato imprescindibile proteggere i sistemi informatici e le informazioni trattate. Informazioni e sistemi sono, ormai, un asset strategico per ogni azienda e, in molti casi, per l’intero sistema produttivo in cui si opera. Esporsi al rischio cyber può significare, oggi, esporsi al rischio di dover interrompere le proprie attività di business temporaneamente (con danni a sé e a terzi, es. clienti) o definitivamente, oltre a esporsi a gravi sanzioni. Le norme e gli standard citati sono solo alcuni (i più rilevanti) tra gli strumenti esistenti che forniscono parametri e criteri utili a gestire correttamente la sicurezza dei sistemi e dei dati all’interno di organizzazioni di diverse dimensioni e settori di appartenenza. Che si tratti di norme obbligatorie o standard di riferimento, spesso richiesti in fase di qualificazione o di verifica periodica da parte di committenti, il loro rispetto può fare la differenza tra l’accedere o meno a contratti o intere fette di mercato (checklist o questionari di valutazione). Studio DFG, con i suoi partner qualificati, offre a tutti il necessario supporto sia nella valutazione delle vulnerabilità di fatto e nell’implementazione di misure correttive, sia nel percorso di compliance alle norme e agli standard in materia di cybersecurity.