Carolina Sabbatini di 4Plays Italia intervista Filippo Sismondo, Account Technology Strategist in SoftJam.
Ciao Filippo, grazie per il tuo tempo. Sul tavolo abbiamo un argomento di attualità e sicuro interesse, anche se complesso: la Direttiva NIS2. Partiamo dal principio: di cosa si tratta? Grazie a te, è un piacere. La NIS è la nuova normativa europea che sostituisce la precedente Direttiva sulla Sicurezza delle Reti e dei Sistemi Informatici (Network and Information Systems NIS) del 2016. È entrata in vigore nel gennaio scorso con l’obiettivo di potenziare la sicurezza informatica in tutti gli Stati membri dell’Unione Europea ed è previsto che in Italia venga ratificata entro l’ottobre del 2024.
Considerato che esisteva già una normativa sulla Sicurezza delle Reti e dei Sistemi Informatici, credi fosse davvero necessario sostituirla? Non sarebbe bastato fare qualche piccola modifica alla direttiva vigente? Il panorama del rischio informatico nel corso degli ultimi anni è radicalmente cambiato. Le minacce si sono esacerbate, sono cambiate, si sono evolute. Non passa giorno senza che le persone, le organizzazioni, e a volte anche persino le Istituzioni, subiscano attacchi sofisticati e diretti, che purtroppo hanno spesso impatti significativi sulle loro attività. In più, la crescente digitalizzazione dell’economia e dei processi aziendali ha reso le organizzazioni più dipendenti dalle tecnologie informatiche, e questo ha inevitabilmente aumentato la vulnerabilità dei sistemi e delle informazioni sensibili. Questa somma di fattori credo abbia imposto l’esigenza di un rafforzamento significativo dei protocolli di sicurezza, e della relativa regolamentazione. Ragion per cui, ti rispondo che sì, probabilmente è stato necessario sostituire la normativa con una nuova.
La prossima domanda me la servi su un piatto d’argento: quali sono le differenze più significative tra le due normative? La NIS2 introduce un approccio più coerente e completo alla cybersecurity, se vuoi più rigido ed esteso. Tanto per cominciare, la Direttiva NIS 2 si applica a un numero maggiore di soggetti, tra cui le pubbliche amministrazioni centrali, i produttori di determinate tipologie di merci e i fornitori di servizi di comunicazione elettronica. Poi prevede obblighi di sicurezza più stringenti ai soggetti interessati, tra cui la valutazione e la gestione dei rischi, la notifica degli incidenti informatici e la cooperazione con le autorità competenti.
A proposito di valutazione, gestione dei rischi e notifica degli incidenti informatici, se non ho capito male, un’altra novità della NIS2 è che introduce il concetto di responsabilità personale per i soggetti interessati: è così? In effetti sì, la nuova Direttiva introduce la responsabilità personale per i soggetti interessati e, più in particolare, per i responsabili della sicurezza informatica (CISO). L’articolo 22 prevede che gli Stati membri adottino misure per garantire che i responsabili della sicurezza informatica siano in grado di assolvere i propri compiti in modo efficace e indipendente, e l’articolo 34 prevede che le autorità competenti possano imporre sanzioni ai responsabili della sicurezza informatica che non abbiano adempiuto ai propri obblighi.
Un inasprimento a scopo punitivo? Si potrebbe pensare, ma non credo. Personalmente, leggo queste due articoli come l’espressione di un’ineludibile necessità, ovvero che i responsabili della sicurezza informatica siano soggetti a requisiti di continua formazione e competenza, nonché a misure di protezione per evitare pressioni o interferenze da parte di altri soggetti all’interno dell’organizzazione.
Quali sono, secondo te, le cose che un responsabile della sicurezza informatica (CISO) deve, tassativamente, saper fare? Se partiamo dal presupposto che, alla base di questi articoli, vi sia la volontà di rafforzare la sicurezza informatica delle organizzazioni e di garantire che gli obblighi previsti dalla Direttiva siano effettivamente rispettati, direi che un CISO dovrà necessariamente essere in grado di comprendere i rischi informatici e le misure di sicurezza necessarie per mitigarli, di gestire e coordinare le attività di sicurezza informatica all’interno della sua organizzazione e di operare, in coscienza e in modo indipendente. Più le persone saranno consapevoli dei rischi, più facilmente riusciranno ad adottare le giuste strategie per mettersi al riparo dai rischi informatici e da possibili sanzioni.
Quali invece gli errori che dovranno evitare? Questa è facile: la mancata implementazione di misure di sicurezza adeguate, in prima istanza, e poi la mancata notifica di un incidente informatico, oppure ancora la mancata cooperazione con le autorità competenti.
Cosa possono fare le organizzazioni per implementare misure di sicurezza adeguate e conformarsi alla normativa? In primo luogo occorre avviare una seria e ponderata valutazione dei rischi. Identificare i rischi informatici a cui l’organizzazione è esposta attraverso l’analisi della tipologia di dati e informazioni trattati, delle infrastrutture informatiche, dei processi e delle procedure, è fondamentale per scegliere le misure di sicurezza più appropriate ed efficaci. Identificati i rischi, l’organizzazione avrà modo di individuare i gap di sicurezza esistenti e definire un piano di intervento per colmarli. Si potrà così procedere all’implementazione, ovvero all’espletamento degli interventi necessari a completare l’adozione delle misure tecnologiche di sicurezza. Infine, ma non per questo meno importante, si dovrà provvedere al mantenimento delle misure adottate, prevedendo un continuo aggiornamento dei software, la creazione di backup dei dati e la verifica della sicurezza dei sistemi e delle reti.
Facile a dirlo, impegnativo a farsi. Per quello ci siamo noi! In SoftJam abbiamo elaborato un piano di intervento in 4 step che ci permetterà di aiutare le organizzazioni a conformarsi alla NIS2 e ad implementare le più efficaci misure di sicurezza per proteggersi quanto più possibile dagli attacchi informatici e dalle loro conseguenze.
Grazie mille per le preziose informazioni, Filippo. Ti lascio andare con un’ultima domanda: hai un consiglio da dare alle aziende che stanno iniziando il processo di conformità alla Direttiva NIS2? Meglio un buon esempio che mille consigli: posso solo dire alle persone che inizieranno l’adeguamento alla NIS2 di seguirci: siamo pronti a fare il primo passo!