Parliamo di Nis 2, la nuova direttiva UE sulla sicurezza informatica, con Fabio Panada, Senior Security Consultant, Cisco.
Come verrà accolta dalle aziende la Nis 2 quando sarà ratificata? È qualcosa che creerà qualche mal di pancia alle imprese?
Qualche mal di pancia in realtà lo ha già creato. Molte aziende hanno iniziato da un po’ di tempo a pensare alla Nis 2. Per fortuna. Perché la Nis 2 è l’evoluzione della Nis 1 di qualche anno fa, e come prima cosa estende il perimetro.
Saranno impattate più aziende, e ci saranno linee guida più stringenti. Insomma: ci sarà un po’ più da fare per mettersi a norma. Molte imprese si stanno già preparando. Altre, invece, lo dovranno fare
Le imprese che ricadevano nella Nis 1 erano realtà molto strutturata. Ora il perimetro si estende anche a imprese molto più piccole, magari non abituate a questo tipo di controlli.
Non sarà facile per loro adeguarsi. Parliamo di circa 13/15.000 aziende che potrebbero essere impattate in Italia. Non c’è una lista completa, o meglio, l’Italia non l’ha ancora definita.
Le imprese più grandi sono già strutturate in termini di servizi e di processi, ma anche in questo caso la Nis 2 impone obblighi un po’ più stringenti. Penso per esempio alla gestione e alla segnalazione in tempi brevi degli incidenti informatici. Questo significa implementare processi per gestire questa complessità. Chi ancora non lo ha fatto, dovrà strutturarsi. E già questo non è banale.
Sarà molto più complesso per le piccole aziende, che non hanno competenze, strumenti e processi strutturati. A queste verrà richiesto uno sforzo più significativo. Ma c’è un aspetto positivo: da queste normative più stringenti ci aspettiamo aziende più protette: le pmi potranno cogliere questa opportunità per migliorare la propria postura di sicurezza.
Ma cosa cambia all’atto pratico, in particolare per le realtà che già erano interessate dalla Nis 1?
La direttiva non entra nel dettaglio su quali saranno i nuovi requisiti, ma specifica alcuni aspetti. Come la necessità di migliorare la resilienza, citando backup, la cifratura, l’autenticazione a più fattori. Dice anche che sarà importante curare la formazione periodica del personale e del management: non tutte le aziende sono strutturate per farlo.
Un aspetto importante che impatta sia le grandi sia le medie imprese è che dovranno gestire la sicurezza della supply chain. Dovranno insomma monitorare il livello di sicurezza dei loro fornitori. Questo è un aspetto positivo, perché migliora l’intero ecosistema.
Le piccole realtà incontreranno qualche difficoltà a adeguarsi, ma dovranno per forza farlo se desiderano lavorare con partner di grandi dimensioni. Non sarà facile, ma la direttiva chiede di mettere a disposizione delle imprese servizi e processi, per aiutare a adeguarsi in tempi rapidi ai nuovi requisiti.
Tutto quello che devi sapere sulla NIS2
La sensazione però è che in tante pmi manchi proprio la percezione del problema della cybersecurity
Sì, è vero, c’è da fare ancora del lavoro sulla consapevolezza. Ma d’altro canto è anche vero che spesso mancano il tempo e le risorse per rispondere a tutti i requisiti oggi richiesti nell’ambito della sicurezza informatica. Come detto, la Nis 2 richiede agli Stati membri di supportare le imprese con processi e servizi, ma è indubbio che c’è molto da fare.
Insomma, se è vero che alcune aziende devono ancora maturare consapevolezza, dall’altro ce ne sono altre consapevoli che faticano a trovare i budget e le competenze per adeguarsi. La Nis 2 chiederà di investire in nuove tecnologie: non tutte le imprese oggi hanno la capacità di cifrare tutto il traffico. O di gestire i backup in maniera strutturata all’interno di un processo.
I tempi però sono stretti: dalla ratifica passerò un anno e mezzo dal momento in cui ci si dovrà adeguare. Pensi che gli Stati e le aziende più grandi supporteranno le pmi in questo processo?
Secondo me sì, è inevitabile. Dato che le realtà più strutturate dovranno essere responsabili dei fornitori, ci sarà sicuramente uno stimolo ad aiutare gli attori della filiera, così da proseguire le collaborazioni. Ci sarà supporto da parte dei Governi, ma anche da parte delle aziende stesse.
La norma prevede una collaborazione fra le realtà che operano nello stesso settore merceologico per migliorare le best practice e, in generale, il livello di sicurezza. Per quello che posso vedere, già oggi alcune realtà stanno avviando questo tipo di discussioni.