Intervista a Fabio Sammartino, Head of Pre-Sales Kaspersky, sul tema della Nis 2, la nuova direttiva UE sulla sicurezza informatica.
Come la direttiva NIS 2 influenzerà le pratiche di sicurezza informatica nelle aziende?
La direttiva NIS 2 avrà un impatto significativo sulle pratiche di cybersecurity delle aziende, promuovendo l’adozione di strategie di sicurezza informatica più complete e integrate.
L’attenzione si concentrerà maggiormente sulla fase di prevenzione, sulla gestione del rischio e sull’interoperabilità tra le imprese dello stesso comparto. Le aziende coinvolte saranno spinte verso una visione integrata del processo della cybersecurity e questo rappresenta un importante progresso per tutto il settore.
Quali sono le sfide principali che le aziende potrebbero incontrare nell’implementare la direttiva NIS 2?
Adattare i processi aziendali a una nuova normativa non è mai semplice e costringerà le aziende a rivedere il modo in cui certi temi vengono affrontati. Questo rappresenta un’opportunità per costruire un approccio alla cybersecurity più moderno e al passo con i tempi e non può essere a impatto zero.
In particolare, le aziende più piccole o meno mature dal punto di vista della security dovranno adottare processi e soluzioni che oggi sono proprie delle aziende con maggior esperienza. Questa sfida è accentuata dal fatto che, inizialmente, molte aziende cercheranno di adeguarsi, principalmente per evitare sanzioni, con un approccio strutturato che arriverà generalmente in un secondo momento.
Che impatto avrà la NIS 2 sulle supply chain delle imprese, in particolare per quanto riguarda le PMI che forniscono prodotti o servizi alle medie e grandi imprese che devono adeguarsi alla direttiva?
L’impatto sulla supply chain sarà significativo, soprattutto considerando che il tessuto industriale italiano è composto principalmente da PMI, che a loro volta collaborano con fornitori ancora più piccoli dove la cybersecurity è gestita solo a livello di infrastruttura IT.
Pensiamo, ad esempio, al settore sanitario, recentemente bersaglio di criminali informatici, che si avvale di una catena di piccoli fornitori che producono apparati estremamente specifici governati da un computer.
Sarà complesso verificare e garantire l’approccio strutturato proposto dalla NIS2 in queste realtà, almeno nel breve periodo, perché il divario da colmare è consistente. Lo stesso discorso vale per la PA locale, e alcuni settori delle utility o della trasformazione alimentare.
All’atto pratico, cosa devono fare le imprese per farsi trovare preparate all’entrata in vigore della NIS 2, quando questa sarà ratificata dai singoli Stati?
Per prepararsi all’entrata in vigore della Direttiva NIS 2, Kaspersky consiglia alle imprese di intraprendere diverse azioni strategiche. Innanzitutto, è essenziale valutare se si rientra nelle categorie di enti essenziali o importanti, comprendendo così l’entità degli obblighi di cybersecurity applicabili. Parallelamente, è fondamentale monitorare come la Direttiva viene recepita nella legislazione nazionale, controllando sempre leggi e regolamenti specifici del proprio Stato Membro.
Un altro aspetto fondamentale è seguire le indicazioni delle autorità di sicurezza informatica nazionali, prestando attenzione alle linee guida e raccomandazioni che queste forniscono. In questo contesto, le imprese devono valutare i rischi legati alla sicurezza dei propri sistemi di rete e informativi, sviluppando di conseguenza misure tecniche, operative e organizzative per mitigare tali rischi.
Oltre agli aspetti tecnici, è importante formare e sensibilizzare tutto il personale aziendale sui rischi di cybersecurity e sulle misure preventive, creando una cultura aziendale attenta alla sicurezza. La gestione degli incidenti di sicurezza informatica deve essere pianificata con cura, con piani di risposta chiari e ruoli ben definiti, e simulazioni di scenari di incidenti possono rivelarsi utili per testare l’efficacia di tali piani.
Infine, il monitoraggio continuo e il miglioramento costante delle misure di sicurezza sono essenziali per adattarsi ai nuovi rischi emergenti e mantenere un alto livello di sicurezza. Prepararsi in anticipo alla Direttiva NIS 2 non solo aiuta a evitare sanzioni, ma contribuisce a rafforzare la resilienza delle imprese contro le minacce informatiche, proteggendo i dati sensibili e mantenendo la fiducia dei clienti e degli stakeholders.