NIS 2
Ecco come garantire standard di sicurezza informatica elevati nell’UE
Stai davvero proteggendo la tua azienda come si deve? L’avvento della Direttiva NIS 2 porta con sé una svolta decisiva nella lotta contro gli attacchi cyber, elevando gli standard di sicurezza informatica a livelli mai visti prima.
Ad ottobre, il governo italiano dovrà dare attuazione alla Direttiva (UE) 2022/2555 (c.d. NIS 2), la quale rappresenta una evoluzione – a dir il vero, piuttosto prevedibile – della difesa informatica del sistema produttivo europeo.
All’entrata in vigore dell’attuale Direttiva NIS 1 e le collegate norme attuative, si era imposto ad alcune realtà produttive, gli OSE (Operatori dei Servizi Essenziali), una serie di obblighi di adozione di misure di sicurezza che potessero far fronte efficacemente a minacce informatiche.
Tuttavia, l’aumento del traffico di rete – il quale ha subìto una notevole accelerazione con la pandemia – e il proporzionale aumento della superficie d’attacco, pretendono un piano d’azione di maggiore respiro, che copra il sistema produttivo unionale nel suo complesso. Sul tema, il briefing prodotto dal Parlamento Europeo (i dati che citerò in seguito citati vengono da questa fonte https://www.europarl.europa.eu) raccoglie informazioni difficilmente ignorabili.
Gli attacchi cyber rappresentano la forma di crimine in più forte crescita nel mondo. Le diverse motivazioni si possono ridurre in due punti principali: innanzitutto, il rischio di essere “pizzicati” è basso – anche considerato che alcuni Paesi utilizzano questi attacchi come forme di guerra ibrida e di auto-finanziamento (come, ad esempio, la Corea del Nord, cfr. https://www.reuters.com). Secondariamente, il guadagno è spesso considerevole e di facile ottenimento: il tessuto produttivo è ormai talmente dipendente dall’informatica, che gli imprenditori sono comprensibilmente disposti a pagare lauti riscatti pur di riottenere i propri dati e far ripartire l’impresa.
Si è stimato che nel 2015 i costi sostenuti a seguito di attacchi informatici si aggirassero intorno ai 325 milioni di dollari. Nel 2017, la stima è salita a 5 miliardi. Nel 2021, 20 miliardi (quasi 57 volte il valore del 2015). Per il 2031, si stima che il costo per le vittime salirà – complessivamente – a 265 miliardi. La media di tentativi di attacco realizzati si dovrebbe aggirare, seguendo gli attuali ritmi di crescita, ogni 2 secondi.
La NIS 2 assume così il ruolo di una disciplina protettiva per le imprese. In sintesi, essa allarga la platea dei soggetti che devono prendere seriamente in mano la propria protezione dei dati e delle comunicazioni informatiche.
La NIS 2 si applicherà ai soggetti operanti nei settori più diversi, dall’energia, alla produzione di dispositivi medici, all’ industria alimentare, passando per la fabbricazione di macchinari e apparecchiature, anche elettriche, di autoveicoli, rimorchi e semirimorchi, e molti altri. Questi soggetti dovranno provvedere ad adottare misure sia organizzativo-procedurali, le quali potrebbero avere un più immediato impatto nel processo produttivo, che tecnico-informatiche. Per dare qualche esempio, si parla di adozione di politiche di analisi dei rischi e di sicurezza dei sistemi informatici, adozione di procedure di disaster recovery, pratiche di igiene informatica, uso di soluzioni di autenticazione a più fattori, ecc. (cfr. art. 21, NIS 2).
Tra le misure di sicurezza elencate dalla Direttiva, si richiede anche che vengano previste misure che consentano il mantenimento in sicurezza della supply chain (catena di rifornimento). In altre parole, all’azienda viene chiesto di mettere al sicuro sé stessa dai potenziali danni di un attacco, proteggendosi anche dai rischi che derivanti da eventi che possano colpire i propri fornitori.
Due considerazioni di buon senso giustificano questa previsione: un blocco causato al fornitore può diventare un blocco all’attività dell’impresa cliente, con una perdita economica gravosa per l’uno e per l’altro; in più, un attacco subìto – per esempio, a mezzo di un ransomware che si propaga per e-mail – da un fornitore può diffondersi all’azienda cliente.
La messa in sicurezza della supply chain pare, a questo punto, non poter che passare per lo strumento contrattuale: nel contratto di fornitura, faranno la loro comparsa (come è stato, o come dovrebbe essere, per gli obblighi relativi alla protezione dei dati personali imposti col GDPR) clausole che obblighino l’adozione di misure di sicurezza idonee, o che richiedano garanzie e certificazioni che dimostrino l’adozione delle sudette clausole, nonché l’imposizione di periodici audit di controllo e la previsione di penali al riscontro di discrepanze, che potrebbe essere condotto fino allo scioglimento del rapporto di fornitura.
Di conseguenza, anche l’azienda fornitrice di prodotti e servizi che non sarebbe, a rigore, soggetta alla NIS 2, ma che vuole rimanere sul mercato e tenersi i propri clienti, dovrà adattare misure proporzionate di protezione, e che queste – come si sarà già intuito quando abbiamo parlato di misure organizzative/procedurali e contrattuali – non potranno limitarsi al firewall ultimo modello.