Soluzioni avanzate per la digitalizzazione, l’automazione e l’efficientamento dei processi
per Aziende e Studi Professionali

Le parole del presente: NIS2 e DORA

data storage

Indice dell'articolo

NIS2 e DORA: quando l’UE dispensa buoni consigli sotto forma di regolamenti.

Pare proprio di sì: l’UE si sta impegnando nel mettere “nero su bianco” delle linee guida in termini di cyber security che, contrariamente alla normale percezione che si ha dei famigerati Regolamenti Europei, appaiono come norme di buon senso e ottime best practice aziendali.

Faccio una breve premessa.
Negli ultimi anni, anche per via della pandemia, c’è stata una fortissima accelerazione rispetto all’informatizzazione all’interno di aziende, della PA e persino di privati.

Ormai l’auspicabile “transizione al 4.0” è una strada obbligata: ancorarsi all’idea che si possa prescindere da certi sviluppi tecnologici denota un’evidente cecità di visione che non potrà che portare a pessimi risultati.

Fatto sta che, fortunatamente, quasi tutti stanno “saltando a bordo” dei nuovi sistemi: dai servizi cloud più basici come backup e email, all’implementazione di nuovi strumenti come AI e RPA.
Il problema sta però nel fatto che la corsa alla messa in sicurezza dell’enorme quantità di informazioni digitalizzate non è andata, spesso, di pari passo con l’adozione stessa delle nuove tecnologie.

In altri termini: si è corsi a guidare un’auto ma insieme non ci si è preoccupati di imparare a non fare incidenti.

Come sta intervenendo l’UE

L’UE, già ben prima della pandemia, era intervenuta per quanto attiene alla sicurezza dei dati personali con il GDPR (qui l’articolo di approfondimento). La ragione è semplice: l’UE si è preoccupata prima di tutto delle persone e della loro sicurezza privata, in quanto fa direttamente riferimento all’Art1 della Carta dei Diritti Fondamentali dell’Unione Europea.

Però, “risolto” il nodo privacy, è diventata sempre più pressante l’esigenza di normare la sicurezza informatica nel suo complesso nello scenario post-pandemico e che queste norme fossero condivise fra i 27 Stati per evitare che ognuno andasse per conto proprio creando situazioni difficili da dipanare.

Il NIS2

Il primo di queste Regolamenti è il NIS2 (Network and Information System Security).

“saldi per incendio” (©”Die Hard. vivere o morire” – 2007)

Questo nuovo regolamento, varato a novembre 2022, di fatto eccede l’attuale legislazione italiana in materia (Legge 4 agosto 2021, n. 109), transitandola nella Direttiva NIS 2016/1148.

Come per il GDPR, anche qui l’UE è andata per gradi, occupandosi primariamente delle aziende e degli asset strategici di un Paese: «[tutti gli operatori dei servizi essenziali – OSI] che forniscono un servizio essenziale la cui interruzione avrebbe un impatto significativo sull’andamento dell’economia o della società» (Fonte Anssi). Tradotto, pretende un adeguamento da parte, ad esempio, della filiera agroalimentare e non dai produttori di bottoni, per ragioni di importanza strategica e di tenuta sociale.

Il punto cruciale qui è che al momento manca una definizione precisa dei settori considerati OSI.
La lista, per ora incompleta e provvisoria, comprende:

  • Finanza
  • Energia
  • Trasporti
  • Salute
  • Reti idriche
  • Oil & Gas
  • Servizi postali
  • Reti e servizi per la comunicazione elettronica pubblica
  • Pubblica amministrazione
  • Prodotti: medicali, chimici, farmaceutici e dispositivi medicali
  • Agro-alimentare
  • Aerospace
  • Data center, social network, ecc…

La questione però non è “la mia azienda non è in elenco e quindi non mi ci devo adeguare”: a prescindere da questo aspetto, adottare le linee guida indicate dal NIS2 è un ottimo punto di partenza per un’effettiva best practice in tema di cyber security, questione che dovrebbe interessare a tutti.

I requisiti minimi previsti dal NIS2

I requisiti minimi previsti per l’adeguamento al NIS2 sono così riassumibili:

  • Analizzare e valutare i rischi anche facendo test ad hoc come i “penetration test”;
  • Stabilire piani di monitoraggio delle minacce e di Disaster Recovery (DR);
  • Stabilire piani di Business Continuity e di gestione delle crisi;
  • Preoccuparsi che la supply chain (cioè i fornitori) a propria volta soddisfi i requisiti minimi di sicurezza, in modo da garantirsi maggiore sicurezza.

Nulla di diverso dalle normali buone abitudini della cyber security che ogni impresa dovrebbe mettere in pratica. Anticipare l’adeguamento alla normativa è solo mettersi meglio al riparo dagli incidenti, non è “fare un favore a qualche burocrate di Bruxelles”.

Il DORA

Il secondo regolamento è il DORA (Digital Operational Resilience Act).

No, non è questa Dora… (© Nickelodeon)

Ultimo in ordine di tempo (gennaio 2023), il Regolamento DORA invece entra nel merito del problema della cyber security in un settore molto preciso: il settore finanziario (banche, assicurazioni, società di gestione del risparmio, intermediari immobiliari, imprese di investimenti, servizi nel campo delle criptovalute e i loro fornitori di servizi critici come ad esempio i fornitori di servizi cloud).

Perché l’UE si sta concentrando sull’ambito finanziario?

La crescita esponenziale dei cyber-crimini in ambito finanziario ha imposto all’Unione di prendere in mano la situazione in modo più diretto rispetto al “semplice” NIS2.
Impone che questi operatori dispongano e stabiliscano strategie operative in termini di governance, gestione del rischio, segnalazione degli incidenti e più in generale i comuni aspetti della cyber security.

…no, raramente gli hacker sono così affascinanti… (©”I signori della truffa” – 1992)

Entrato in vigore il 17 gennaio 2023, il “grace period” di 24 mesi per l’attuazione – comune nei regolamenti – sposta a fine 2024 il termine per adeguarsi.

Come già per il GDPR, l’adeguamento al DORA segue un criterio progressivo che rimette al singolo soggetto, l’onere di valutare e dimostrare il livello dei requisiti che devono essere rispettati.
Arbitrario? Un po’. Però, come ripeto spesso, se ci si affida alle giuste competenze professionali per amministrare la cyber security, è dura “non essere affatto compliant” rispetto ad una norma.

Non si è mai “troppo compliant”, al massimo lo si è troppo poco e scoprirlo può costare davvero caro… anche e non solo in termini di sanzioni comminate dall’Ente.

Vuoi sapere come Nubys può assisterti nell’adeguamento ai Regolamenti UE in tema di Cyber Security?
Contattaci!


Elena Iseni
Resp. Mkt e Comunicazione

CONDIVIDI L'ARTICOLO

chi ha tempo non aspetti tempo!

Ti si è accesa una lampadina?

Cogli ADESSO l’opportunità di MIGLIORARE IL RENDIMENTO del tuo business!

Chiamaci senza impegno allo 02 500 470 80 o scrivici al nostro indiririzzo web@nubys.it :
saremo lieti di ripondere a tutte le tue domande!

Altro dal BLOG

Translate »

Scarica la brochure sull'analisi preliminare

Grazie! Clicca sul pulsante per iniziare il download (PDF, 346 KB)

Scarica l'e-book

Grazie! Clicca sul pulsante per iniziare il download (PDF, 795 KB)