Mentre le minacce informatiche sono sempre più diffuse e aggressive, le organizzazioni non hanno altra scelta che adottare misure per proteggere le proprie infrastrutture e risorse, anticipando e bloccando il più possibile gli attacchi informatici. Se lo fanno nel loro interesse e in quello dei terzi con cui interagiscono, siano essi clienti, fornitori o prestatori, lo fanno anche a causa di normative sempre più rigorose e numerose, che possono creare inerzia nell'adozione di misure concrete. Infatti, questa crescente esigenza di conformità normativa, sebbene miri a rafforzare la sicurezza delle organizzazioni, potrebbe paradossalmente minarne la competitività e, in alcuni casi, influire negativamente sull'esperienza utente.
Peraltro le imprese ad oggi interessate da almeno una normativa, tra cui NIS, DORA o il Cyber Resilience Act sono sempre più numerose. Con l'aumento del numero e della sofisticatezza degli attacchi informatici, l'UE ha infatti ampliato il quadro normativo per accompagnare le organizzazioni nell'adozione di misure di sicurezza adeguate e rafforzare la protezione delle infrastrutture critiche e dei dati sensibili. Tuttavia, le imprese interessate possono sentirsi spiazzate di fronte a un accumulo di normative, accompagnato da una mancanza di informazioni ma anche da una realtà in cui l'innovazione tecnologica è molto più avanzata rispetto a quanto previsto da queste normative, come è stato il caso dell'IoT o più recentemente dell'IA per citarne solo alcuni esempi.
Una sovrapposizione crescente di normative e i loro campi di applicazione
La direttiva NIS1, entrata in vigore nel 2016, aveva posto le basi della cybersecurity in Europa, enfatizzando la rilevanza di misure tecnologiche e normative per rafforzare la resilienza delle infrastrutture critiche. Ha incoraggiato una gestione standardizzata della cybersecurity introducendo la gestione del rischio e incentivando le imprese a migliorare continuamente i loro protocolli di sicurezza. La direttiva NIS2, appena entrata in vigore negli Stati membri dell'Unione europea, rappresenta un ulteriore giro di vite rispetto alla NIS1. Copre in particolare un maggior numero di settori (18) e riduce a 50 dipendenti la dimensione delle organizzazioni toccate, al fine di innalzare il livello di sicurezza e garantire la protezione di ogni anello della catena di approvvigionamento. NIS2 introduce anche la responsabilità dei dirigenti, con possibili sanzioni in caso di inadempienze, affinché si impegnino in modo più serio e proattivo nella gestione dei rischi informatici.
Tuttavia, la capacità dell'organismo nazionale incaricato di effettuare i controlli, l'ACN in Italia, è una questione cruciale sollevata dall'estensione di NIS2. Senza un aumento significativo del numero di consulenti, i controlli potrebbero limitarsi a verifiche casuali, riducendo potenzialmente l'efficacia della direttiva. A queste questioni di controllo, si aggiunge quella del campo di applicazione delle diverse legislazioni. Infatti, sebbene normative come NIS2 e DORA presentino similitudini come l'analisi dei rischi, gli obblighi di notifica e il controllo della catena di approvvigionamento, le loro applicazioni differiscono. Se NIS2 si applica a vari settori, DORA mira specificamente al settore finanziario. Questa distinzione solleva interrogativi sul carattere specifico e complementare di DORA rispetto a NIS2, sottolineando la necessità di adattare le misure di cybersecurity alle specificità di ciascun settore.
Impatti della complessità legislativa sui costi e sulla competitività delle organizzazioni
Il progressivo accumularsi di leggi e normative in materia di cybersecurity pone anche una sfida finanziaria alle imprese. Ogni nuova direttiva, volta a rafforzare la sicurezza, genera infatti costi aggiuntivi. Innanzitutto, le organizzazioni devono investire in un audit che consenta loro di valutare i propri sistemi e la propria postura di sicurezza rispetto a quanto richiesto dalle normative. In secondo luogo, ci sono i costi legati al deployment di tecnologie avanzate che risponderanno a requisiti ben precisi per affrontare specifiche problematiche di cybersecurity; soluzioni che richiedono una formazione del personale affinché possa sfruttare questi strumenti in modo efficiente e appropriato. Questi investimenti, necessari per conformarsi a standard elevati, possono portare le imprese ad aumentare i prezzi dei loro beni e servizi. Inoltre, questi costi incidono sulla competitività internazionale. Le imprese europee possono infatti diventare meno competitive rispetto a quelle di altre regioni dove le normative sono meno rigorose.
Un'altra problematica posta dalle nuove normative è la mancanza di personale specializzato in cybersecurity. Le imprese devono assumere più esperti per conformarsi, aumentando così la domanda di queste competenze specifiche sul mercato del lavoro. La carenza di professionisti qualificati in cybersecurity è già una realtà e questa crescente domanda esacerba la situazione. Ciò crea ulteriori pressioni, rendendo ancora più difficile l’allineamento alle nuove normative per le imprese che faticano a trovare le risorse umane necessarie. Infine, occorre considerare anche i potenziali costi associati alle sanzioni per la mancata conformità, come multe, danni alla reputazione che potrebbero portare a un impatto sull'immagine e alla perdita di clienti in caso di compromissione dei dati.
Il ritorno alla ragione
Per un esperto, sarebbe difficile non notare l'incremento delle normative e degli standard verticali aggiuntivi (Dora, Basilea III, HDS, ecc.). La loro somiglianza è sorprendente, poiché le regole e le pratiche si sovrappongono in larga misura. Ciò è comprensibile, poiché i sistemi informativi sono fondamentalmente simili, che si tratti di un istituto bancario o di un’organizzazione industriale. Le differenze sono marginali e richiedono adattamenti tecnici specifici. Ad esempio, la protezione di un componente ModBus non sarà la stessa di quella di un database SQL. Tuttavia, è essenziale che i tecnici dell’assistenza siano dotati di un’autenticazione a più fattori e che i rispettivi account siano verificati regolarmente.
Tale proliferazione potrebbe dare l'impressione che ogni entità cerchi di stabilire le proprie regole. Questa tendenza all'inflazione normativa potrebbe portare a un aumento dei costi (a carico in ultima analisi degli individui) senza migliorare significativamente la sicurezza. È quindi fondamentale tornare a un approccio più razionale, sia per la nostra economia sia per la nostra sicurezza.
Soluzioni semplici
Qualunque sia la norma o la normativa in vigore, è essenziale tenere presente che il sistema informativo costituisce un pilastro fondamentale dell'attività dell'impresa e merita quindi una protezione adeguata.
Piuttosto che moltiplicare i dettagli delle misure necessarie, è preferibile concentrarsi su questi punti essenziali:
- Integrare la tematica della cybersecurity a livello del Consiglio di Amministrazione (CdA): è cruciale trattare la cybersecurity con la stessa importanza dei rischi fisici o umani;
- Gestire la sicurezza in funzione dei rischi: questo approccio consente di distribuire le risorse in modo giudizioso, allineandole alle esigenze specifiche dell'attività;
- Adottare le best practice fondamentali: eseguire backup regolari, testati e verificati, utilizzare soluzioni di sicurezza di base come firewall, antivirus e autenticazione a più fattori, e mantenere aggiornati i sistemi;
- Circondarsi di partner affidabili: scegliere partner affidabili per beneficiare di un supporto adeguato.
In definitiva, la transizione da NIS1 a NIS2 e la presenza di diverse e nuove normative porta a un ampliamento della copertura e a una maggiore responsabilità giuridica per i dirigenti, senza tuttavia rappresentare un progresso significativo dal punto di vista tecnologico. Eppure questa evoluzione delle leggi e delle normative nel tempo solleva sfide legate ai costi, alla complessità legislativa e alla carenza di manodopera qualificata per conformarsi. Le imprese dovranno quindi mettere in atto strategie e soluzioni concrete ed efficaci per rispondere alle nuove esigenze, mantenendo al contempo la propria competitività sul mercato internazionale, al fine di garantire la sostenibilità delle loro attività.
