La normativa europea NIS2 non interessa solamente le multinazionali, ma anche le piccole e medie aziende, che dispongono di un budget più limitato. In questo articolo, vi illustriamo come anche le PMI possono raggiungere i livelli di sicurezza imposti dalla normativa.
Cosa impone la NIS2? Un ripasso veloce
La normativa NIS2, creata per sopperire alle mancanze della NIS (Direttiva sulla Sicurezza delle Reti e dell’Informazione), entrerà a breve in azione. Entro il fatidico 17 ottobre 2024, infatti, gli Stati membri dell’Unione Europea dovranno aver emanato le normative di recepimento a livello nazionale.
Con l’aggiornamento di NIS, l’Unione Europea si augura di riuscire a rafforzare la sicurezza informatica delle aziende, richiedendo una gestione dei rischi più rigorosa, controlli di sicurezza e audit/test regolari. NIS2 lascia alle organizzazioni europee un po’ di spazio di manovra, ma aumenta la qualità gli standard di sicurezza ai quali devono attenersi, in modo da rispecchiare le migliori pratiche e gli standard globali.
Oltre a innalzare l’asticella della resilienza europea, la normativa amplia il campo di applicazione delle regolamentazioni originali includendo più settori ed entità ritenuti essenziali o importanti. Tra questi, la pubblica amministrazione, l’energia, la sanità, i servizi digitali, la produzione e distribuzione alimentare, le infrastrutture digitali e la produzione.
NIS2 tiene anche conto delle piccole e medie imprese, imponendo controlli e bilanciamenti. In particolare, le PMI con oltre 50 dipendenti e un fatturato superiore a 10 milioni di euro sono soggette ai requisiti di cybersecurity ancora più stringenti.
“Le aziende prosperano grazie alla connettività. Che si tratti di scambiare email, partecipare a riunioni, lavorare su reti Wi-Fi aperte o condividere documenti con altri, il mondo è sempre più connesso e aperto al business,” ha affermato Roland Singer, VP IT Services di Sharp Europe. “Tenendo presente tutto ciò, le piccole e medie imprese (PMI) sono oggi più vulnerabili che mai agli attacchi informatici . Studi hanno dimostrato che le piccole imprese sono più spesso bersaglio del crimine informatico, mentre alcune ricerche di Sharp evidenziano che un terzo (33%) delle aziende europee è stato colpito da un attacco di virus informatico”.
Nessun dispositivo deve essere lasciato al caso
Naturalmente, per fare in modo che la direttiva sortisca l’effetto sperato, le aziende devono agire. Dato che NIS2 impone che tutti i sistemi informatici aziendali siano protetti, è innanzitutto importante implementare solide misure di sicurezza in ogni punto dell’organizzazione.
Nessun dispositivo deve andare inosservato: anche il più periferico dispositivo IoT, come ad esempio una stampante, se connesso a una rete, va monitorato. È importante ribadire questo punto, perché nella maggior parte delle aziende esistono ancora dispositivi non coperti da alcun sistema di sicurezza. E i dati di Sharp parlano chiaro: il 19% delle PMI è stato colpito da una violazione della sicurezza delle stampanti.
Monitorare e gestire ogni singolo dispositivo è un’impresa difficile, ma non impossibile. Per agevolare la risoluzione delle criticità, le PMI dovrebbero collaborare con il proprio fornitore di supporto IT. Solo così è possibile effettuare una valutazione completa dei rischi, al fine di identificare le potenziali vulnerabilità, minacce e aree di miglioramento in tutta l’organizzazione.
Non dimentichiamoci della parte legislativa, importante quanto quella informatica. Dato che NIS2 impone sanzioni anche per quanto riguarda la documentazione, è importante rivedere e aggiornare contratti e gli accordi sul livello del servizio.
Una volta completati i compiti sopra citati, è possibile tirare un sospiro di sollievo? Non proprio. Manca ancora un ultimo passo fondamentale, quello di sviluppare e implementare politiche e procedure di cybersicurezza in tutta l’azienda. Naturalmente, anche queste devono allinearsi ai requisiti della NIS2.
La formazione è un aspetto cruciale
La vostra azienda ha definito piani per la gestione del rischio, redatto tutti i documenti necessari e implementato misure di sicurezza adeguate: il lavoro è finito qui?
La risposta è no, in quanto la sicurezza è un lavoro continuo. Una volta che i livelli di sicurezza di un’organizzazione sono allineati a quelli imposti dalla NIS2, bisogna continuare a eseguire verifiche regolari per garantire il rispetto continuo della normativa. Queste comprendono scansioni delle vulnerabilità, valutazioni di sicurezza, test di penetrazione o attacchi informatici simulati.
Ma non solo test e valutazioni. Non bisogna dimenticarsi dell’importanza della formazione, che dev’essere anch’essa continua. Le aziende di ogni dimensione, dalle multinazionali fino alla più piccola PMI, devono investire su questo importante aspetto di sicurezza. Il fatto che la maggior parte degli incidenti di sicurezza è causata dall’errore umano e che i dipendenti sono la prima linea di difesa contro le minacce rende la formazione tanto importante quanto i sistemi di sicurezza automatizzati e gli antivirus.
Quindi, la NIS2 vuole che le aziende sviluppino una vera a propria cultura di sicurezza: solo in questo modo potranno far fronte a minacce sempre più pericolose.
- Library, Legislative (Autore)
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🥷 La situazione della cyberwarfare in Italia e nel mondo
🏢 Aruba consolida la sua presenza sul territorio con un nuovo data center a Roma
🧠 Intelligenza artificiale e non: generare un valore, ma per tutti
👗 La moda sostenibile cresce verso un'industria più responsabile ed etica
🎧 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸 E trovi un po' di offerte interessanti su Telegram!
