La direttiva NIS3, entrata in vigore nel 2023, aggiorna le norme UE in materia di cybersicurezza per rafforzare il livello generale di sicurezza IT nell'Unione. Di fronte a una maggiore digitalizzazione e a un panorama di cyberminacce in continua evoluzione, è necessario migliorare la postura di cybersicurezza delle imprese e la loro capacità di rispondere agli incidenti.
Udo Schneider, Security Evangelist e Europe GRC Lead di Trend Micro, ci ha spiegato che la normativa NIS2 specifica indicazioni che le compagnie europee avrebbero già dovuto seguire da anni.
"Sono misure di sicurezza di base. Il fatto che ci sia una normativa che fa rispettare queste misure è buono da un punto di vista della sicurezza, ma significa anche che ci sono molte compagnie che, ovviamente, non applicavano neanche le indicazioni di base in passato" sottolinea Schneider.
La NIS2, in particolare, ricalca le indicazioni dello standard ISO 27000, un insieme di norme che mira a proteggere le informazioni dell'organizzazione e la proprietà intellettuale e i dati di dipendenti, clienti e partner da attacchi informatici.
Il fatto che l'Unione Europea abbia aumentato la pressione regolatoria sta mettendo in difficoltà le aziende, soprattutto quelle che non avevano mai prestato attenzione agli aspetti di sicurezza IT ma che avrebbero dovuto farlo.
Le aziende hanno cominciato a prestare attenzione agli aspetti di cybersecurity solo negli ultimi anni, quando il modo di lavorare è cambiato profondamente e ha richiesto l'attuazione di processi di digitalizzazione, ma comunque non è stato abbastanza; l'attuazione di nuovi regolamenti e soprattutto l'inasprimento delle multe per chi non è norma hanno fatto il resto.
"In passato non c'era pressione regolatoria per farlo" afferma Schneider, "e penso che c'era anche la percezione, specialmente dalle figure non IT, che non fosse importante. Non c'era la percezione per la sicurezza".
Il mondo IT è diventato il core business per molte aziende, di conseguenza è cambiata la percezione dei requisiti di sicurezza, considerati oggi fondamentali per proteggere l'integrità dei processi aziendali.
La NIS2 può aiutare le imprese, ma ha delle mancanze
L'introduzione del NIS2 auspicabilmente cambierà il modo in cui le aziende si approcciano alla cybersecurity, ma Schneider ritiene che il regolamento non sia completo.
La nuova normativa, spiega Schneider, menziona l'ISO 27000 e lo propone come una possibile alternativa per verificare la compliance alle nuove misure di sicurezza, ma avrebbe dovuto includere altre indicazioni specifiche sulla gestione delle infrastrutture; inoltre, non è sufficientemente specifico in termini di ciò che le istituzioni si aspettano dalle imprese.
Mentre l'ISO 27000 è un vero e proprio standard che può essere usato come un "test" per verificare le implementazioni di sicurezza, la NIS2 può essere visto come un manuale. L'ENISA (European Union Agency for Cybersecurity) ha pubblicato un mapping tra le due entità, ma non si tratta di un'indicazione ufficiale. "Non hanno dato abbastanza potere a ENISA di specificare il mapping con un carattere davvero ufficiale" sostiene Schneider.
Al contrario Dora (Digital Operational Resilience Act), il regolamento che stabilisce il framework per la gestione del rischio dell'ICT nel settore finanziario, appare molto più strutturato e specifico del NIS2. Il regolamento approfondisce anche controlli tecnici e soprattutto gli obblighi di segnalazione in caso di incidenti o attacchi informatici.
Gli utenti finali non hanno le conoscenze per comprendere la cybersecurity
Occuparsi della sicurezza dell'infrastruttura IT include anche l'obbligo di rispettare precisi standard di privacy e garantire la protezione dei dati personali degli utenti, l'anello finale della supply chain.
Nonostante le aziende abbiano cominciato a prestare molta attenzione all'uso dei dati sensibili degli utenti, nel rispetto del GDPR, stanno delegando gran parte della responsabilità ai consumatori, i quali, nella maggior parte dei casi, non hanno le conoscenze adatte per comprendere le implicazioni delle loro scelte.
Nel fornire permessi alle applicazioni che installano o ai servizi che usano, gli utenti non conoscono nel dettaglio che cosa accade ai loro dati e perché la compagnia che offre il servizio ha bisogno di accedere a determinate informazioni.
"È su questo punto che le normative falliscono: sei obbligato a chiedere all'utente se approva certi usi dei suoi dati, ma non sei costretto a spiegare in modo comprensibile cosa significa" afferma Schneider, sottolineando che non ci si preoccupa troppo di verificare che l'utente abbia effettivamente capito le implicazioni.
Non tutti gli utenti hanno l'esperienza e le conoscenze tecniche per comprendere le conseguenze delle proprie scelte e le forze coinvolte; le normative dovrebbero allora occuparsi di risolvere questo problema e fornire ai consumatori i mezzi necessari per informarsi.
Schneider ritiene che, almeno in parte, anche le organizzazioni di cybersecurity siano responsabili delle difficoltà degli utenti nel comprendere l'importanza delle misure di sicurezza, metterle in atto e capire le conseguenze delle loro scelte: le compagnie di sicurezza non hanno puntato abbastanza sul creare consapevolezza e diffondere la conoscenza.
"Penso che noi come industria o noi come professionisti di sicurezza non siamo riusciti a diffondere l'idea che la sicurezza è necessaria e utile. Penso che il consumatore medio percepisca ancora la sicurezza come un ostacolo".
Affinché la cybersecurity diventi parte integrante della strategia aziendale, è necessario che imprese e organizzazioni di sicurezza collaborino tra loro e che le istituzioni esplorino nuovi modi per semplificare l'adozione dei nuovi standard e aiutare i consumatori a diventare parte attiva dell'ecosistema.