NIS2 e DORA: quando l’UE dispensa buoni consigli sotto forma di regolamenti.
Pare proprio di sì: l’UE si sta impegnando nel mettere “nero su bianco” delle linee guida in termini di cyber security che, contrariamente alla normale percezione che si ha dei famigerati Regolamenti Europei, appaiono come norme di buon senso e ottime best practice aziendali.
Faccio una breve premessa.
Negli ultimi anni, anche per via della pandemia, c’è stata una fortissima accelerazione rispetto all’informatizzazione all’interno di aziende, della PA e persino di privati.
Ormai l’auspicabile “transizione al 4.0” è una strada obbligata: ancorarsi all’idea che si possa prescindere da certi sviluppi tecnologici denota un’evidente cecità di visione che non potrà che portare a pessimi risultati.
Fatto sta che, fortunatamente, quasi tutti stanno “saltando a bordo” dei nuovi sistemi: dai servizi cloud più basici come backup e email, all’implementazione di nuovi strumenti come AI e RPA.
Il problema sta però nel fatto che la corsa alla messa in sicurezza dell’enorme quantità di informazioni digitalizzate non è andata, spesso, di pari passo con l’adozione stessa delle nuove tecnologie.
In altri termini: si è corsi a guidare un’auto ma insieme non ci si è preoccupati di imparare a non fare incidenti.
Come sta intervenendo l’UE
L’UE, già ben prima della pandemia, era intervenuta per quanto attiene alla sicurezza dei dati personali con il GDPR (qui l’articolo di approfondimento). La ragione è semplice: l’UE si è preoccupata prima di tutto delle persone e della loro sicurezza privata, in quanto fa direttamente riferimento all’Art1 della Carta dei Diritti Fondamentali dell’Unione Europea.
Però, “risolto” il nodo privacy, è diventata sempre più pressante l’esigenza di normare la sicurezza informatica nel suo complesso nello scenario post-pandemico e che queste norme fossero condivise fra i 27 Stati per evitare che ognuno andasse per conto proprio creando situazioni difficili da dipanare.
Il NIS2
Il primo di queste Regolamenti è il NIS2 (Network and Information System Security).
Questo nuovo regolamento, varato a novembre 2022, di fatto eccede l’attuale legislazione italiana in materia (Legge 4 agosto 2021, n. 109), transitandola nella Direttiva NIS 2016/1148.
Come per il GDPR, anche qui l’UE è andata per gradi, occupandosi primariamente delle aziende e degli asset strategici di un Paese: «[tutti gli operatori dei servizi essenziali – OSI] che forniscono un servizio essenziale la cui interruzione avrebbe un impatto significativo sull’andamento dell’economia o della società» (Fonte Anssi). Tradotto, pretende un adeguamento da parte, ad esempio, della filiera agroalimentare e non dai produttori di bottoni, per ragioni di importanza strategica e di tenuta sociale.
Il punto cruciale qui è che al momento manca una definizione precisa dei settori considerati OSI.
La lista, per ora incompleta e provvisoria, comprende:
- Finanza
- Energia
- Trasporti
- Salute
- Reti idriche
- Oil & Gas
- Servizi postali
- Reti e servizi per la comunicazione elettronica pubblica
- Pubblica amministrazione
- Prodotti: medicali, chimici, farmaceutici e dispositivi medicali
- Agro-alimentare
- Aerospace
- Data center, social network, ecc…
La questione però non è “la mia azienda non è in elenco e quindi non mi ci devo adeguare”: a prescindere da questo aspetto, adottare le linee guida indicate dal NIS2 è un ottimo punto di partenza per un’effettiva best practice in tema di cyber security, questione che dovrebbe interessare a tutti.
I requisiti minimi previsti dal NIS2
I requisiti minimi previsti per l’adeguamento al NIS2 sono così riassumibili:
- Analizzare e valutare i rischi anche facendo test ad hoc come i “penetration test”;
- Stabilire piani di monitoraggio delle minacce e di Disaster Recovery (DR);
- Stabilire piani di Business Continuity e di gestione delle crisi;
- Preoccuparsi che la supply chain (cioè i fornitori) a propria volta soddisfi i requisiti minimi di sicurezza, in modo da garantirsi maggiore sicurezza.
Nulla di diverso dalle normali buone abitudini della cyber security che ogni impresa dovrebbe mettere in pratica. Anticipare l’adeguamento alla normativa è solo mettersi meglio al riparo dagli incidenti, non è “fare un favore a qualche burocrate di Bruxelles”.
Il DORA
Il secondo regolamento è il DORA (Digital Operational Resilience Act).
Ultimo in ordine di tempo (gennaio 2023), il Regolamento DORA invece entra nel merito del problema della cyber security in un settore molto preciso: il settore finanziario (banche, assicurazioni, società di gestione del risparmio, intermediari immobiliari, imprese di investimenti, servizi nel campo delle criptovalute e i loro fornitori di servizi critici come ad esempio i fornitori di servizi cloud).
Perché l’UE si sta concentrando sull’ambito finanziario?
La crescita esponenziale dei cyber-crimini in ambito finanziario ha imposto all’Unione di prendere in mano la situazione in modo più diretto rispetto al “semplice” NIS2.
Impone che questi operatori dispongano e stabiliscano strategie operative in termini di governance, gestione del rischio, segnalazione degli incidenti e più in generale i comuni aspetti della cyber security.
Entrato in vigore il 17 gennaio 2023, il “grace period” di 24 mesi per l’attuazione – comune nei regolamenti – sposta a fine 2024 il termine per adeguarsi.
Come già per il GDPR, l’adeguamento al DORA segue un criterio progressivo che rimette al singolo soggetto, l’onere di valutare e dimostrare il livello dei requisiti che devono essere rispettati.
Arbitrario? Un po’. Però, come ripeto spesso, se ci si affida alle giuste competenze professionali per amministrare la cyber security, è dura “non essere affatto compliant” rispetto ad una norma.
Non si è mai “troppo compliant”, al massimo lo si è troppo poco e scoprirlo può costare davvero caro… anche e non solo in termini di sanzioni comminate dall’Ente.
Vuoi sapere come Nubys può assisterti nell’adeguamento ai Regolamenti UE in tema di Cyber Security?
Contattaci!
Elena Iseni
Resp. Mkt e Comunicazione
