A meno di un mese dalla scadenza della direttiva sulla sicurezza delle reti e delle informazioni (NIS2), le organizzazioni di tutta l'UE si stanno preparando per l'entrata in vigore della nuova normativa, prevista per il 17 ottobre. Non si tratta però di un cambiamento isolato: il 17 gennaio 2025 sarà la volta del Digital Operational Resilience Act (DORA), che riguarderà le organizzazioni finanziarie e i fornitori di servizi IT del settore.
Le entità dell'UE, così come quelle con sede all'estero che operano nel mercato europeo, stanno affrontando una crescente pressione per adeguarsi a questi requisiti normativi. La convergenza di questi quadri normativi avrà un impatto significativo su oltre 170.000 organizzazioni europee, di cui 150.000 saranno soggette al NIS2 e, secondo le stime, oltre 22.000 saranno interessate dal DORA.
Cosa sono NIS2 e DORA?
La NIS2 si propone di offrire una legislazione completa a livello europeo sulla sicurezza informatica, ampliando l'ambito di applicazione della precedente direttiva NIS e introducendo requisiti di sicurezza più rigorosi per 18 settori di attività. Analogamente al Regolamento generale sulla protezione dei dati (GDPR), la NIS2 mira a connettere le misure e gli approcci di cybersecurity tra le diverse organizzazioni, contribuendo così a rafforzare l'infrastruttura digitale europea.
Il Digital Operational Resilience Act (DORA) è una direttiva specifica per il settore finanziario, focalizzata sulla gestione del rischio operativo. Essa ha due obiettivi principali: innanzitutto, rafforzare la gestione del rischio informatico nei servizi finanziari; in secondo luogo, armonizzare le normative esistenti sulla gestione del rischio informatico negli Stati membri dell'UE.
A differenza della NIS2, che consente ai singoli Paesi di sviluppare regole in base alle loro esigenze nazionali, il DORA non lascia spazio alla discrezionalità degli Stati membri, imponendo standard uniformi a livello europeo.
Strategie di conformità per NIS2 e DORA
Sebbene le nuove normative possano apparire come un onere per le aziende già in difficoltà economica, esse sono state introdotte in risposta a un panorama delle minacce in continua evoluzione. L'implementazione di tali cambiamenti non solo migliorerà la resilienza informatica, ma aprirà anche nuove opportunità per rafforzare la sicurezza complessiva. Per sfruttare al meglio queste occasioni e allinearsi con le normative in arrivo, le organizzazioni dovrebbero adottare le seguenti nove strategie di conformità:
Valutazione completa del rischio: è fondamentale condurre un’analisi approfondita che consideri i requisiti di NIS2 e DORA. Questo implica identificare gli asset critici, valutare le minacce potenziali e analizzare l'impatto di vari scenari di rischio. Un approccio unificato facilita l'individuazione delle vulnerabilità comuni e la creazione di strategie di mitigazione più efficaci.
Istruzione e formazione: le organizzazioni, spesso vulnerabili a causa di risorse limitate, devono implementare programmi di formazione continua per sensibilizzare i dipendenti e definire misure di sicurezza chiare. Questo aiuta a promuovere una cultura della conformità e della consapevolezza della sicurezza.
Modello di responsabilità condivisa: i criminali informatici hanno affinato le loro tattiche, mettendo sotto pressione le aziende. Adottare un modello di responsabilità condivisa assicura che le politiche e le pratiche di sicurezza siano aggiornate e uniformemente applicate. Una strategia di conformità efficace inizia con ruoli e obiettivi ben definiti e documentati, in linea con le direttive NIS2 e DORA.
Segnalazione integrata degli incidenti: le organizzazioni devono stabilire un piano di risposta agli incidenti coerente per soddisfare i requisiti di entrambe le normative, garantendo canali di comunicazione efficaci e una segnalazione tempestiva alle autorità competenti.
Cybersecurity come valore fondamentale: i leader della sicurezza devono rendere la cybersecurity un tema centrale, dimostrando come piccoli cambiamenti possano proteggere l'intera organizzazione. È fondamentale che i team di leadership integrino sicurezza e privacy nelle iniziative relative ai dati sin dalle fasi iniziali.
Governance trasversale ai framework: le aziende dovrebbero considerare la creazione di team dedicati alla compliance o integrare tali responsabilità nelle funzioni di gestione del rischio esistenti. Una chiara struttura di governance assicura coerenza e responsabilità, evitando duplicazioni di sforzi.
Test di resilienza informatica: è essenziale condurre test regolari dei sistemi e dei processi. Le organizzazioni devono sviluppare un programma di test completo che comprenda test di penetrazione, red teaming ed esercizi di continuità operativa, allineando le procedure ai requisiti delle normative.
Sfruttare la tecnologia: le aziende devono integrare soluzioni tecnologiche nella loro strategia di sicurezza per facilitare la gestione della conformità. Questo include strumenti basati sui dati per la valutazione del rischio e la gestione degli incidenti, nonché soluzioni automatizzate per migliorare la reportistica e ridurre il lavoro manuale.
Sviluppare fiducia e trasparenza: per costruire fiducia, le organizzazioni devono condividere come gestiscono i dati e le informazioni personali, incluse le modalità di protezione. Questa trasparenza rafforza le iniziative di cybersecurity e contribuisce a una risposta solida che coinvolge autorità di regolamentazione, consumatori e altri soggetti. La conformità continua può trasformare un obbligo in un’opportunità per diventare un partner fidato.
Trasformare le sfide della conformità in opportunità
Con l'avvicinarsi delle scadenze per NIS2 e DORA, adottare un approccio unificato alla gestione del rischio, alla segnalazione degli incidenti, ai test di resilienza e all'uso della tecnologia può aiutare le organizzazioni a orientarsi nel panorama normativo. L'obiettivo non è solo conformarsi a questi framework, ma sfruttarli come catalizzatori per migliorare la postura complessiva della sicurezza e la resilienza operativa.
