La nuova legislazione europea sulla cybersecurity, NIS2, è stata uno dei temi principali della conferenza regionale Tech for Good EMEA dell'ottobre 2023 - una conferenza di ESET in cui il direttore degli affari governativi di ESET Andy Garth ha discusso con leader di pensiero, esperti e stakeholder della cybersecurity gli aggiornamenti delle loro aree di competenza.
Il vivace dibattito non sorprende, viste le ampie implicazioni della nuova legislazione per diverse entità e istituzioni in tutta l'UE. Tuttavia, è fondamentale chiarire che gli Stati membri dell'UE hanno tempo fino al 17 ottobre 2024 per recepire la direttiva NIS2 nelle loro leggi nazionali. Ciò significa che le aziende non avranno una data di conformità specifica fino a quando ogni Stato membro non avrà finalizzato la propria legislazione nazionale.
Qual è dunque il punto di vista degli esperti su questa normativa? Quali sono i vantaggi e i potenziali problemi?
La legislazione extraterritoriale sulla cybersecurity era attesa da tempo
Robbert Santifort, socio principale di Eversheds Sutherland, ha analizzato la nuova legislazione dal punto di vista di un avvocato, sottolineando i costi sempre crescenti dei crimini informatici e la necessità impellente di una legislazione extraterritoriale che protegga le entità e le istituzioni dell'UE. Santifort ha spiegato la posizione della direttiva NIS2 all'interno di un'infrastruttura paneuropea composta da centri operativi di sicurezza (SOC) nazionali e transfrontalieri in tutta l'UE.
La direttiva riguarda non solo le istituzioni e le imprese dell'UE, ma anche i loro fornitori e tutte le entità che gestiscono i loro affari e svolgono le loro attività nell'Unione. L'esperto di diritto ha anche sottolineato la necessità di portare il tema della cybersicurezza nei consigli di amministrazione dei governi, delle aziende e delle istituzioni, nonché la necessità di educare di conseguenza il proprio management. Santifort afferma che:
"Perché la NIS2 è così importante? Perché sta ricevendo così tanta attenzione? Come ho detto, porta la cybersicurezza nella sala dei consigli di amministrazione. Cosa significa in pratica? Significa che gli organi direttivi devono essere in grado di identificare e valutare le misure di gestione del rischio di cybersecurity, di approvare tali misure in relazione al quadro di gestione del rischio applicabile all'azienda e di supervisionare l'attuazione di tali misure. E anche il consiglio di amministrazione deve essere istruito e formato per essere in grado di governare l'attuazione di tutti questi obblighi".
Santifort ha anche elogiato la portata molto più ampia della NIS2 rispetto al suo predecessore, la direttiva NIS, e la sua migliore applicazione non solo a livello aziendale ma anche personale.
La sicurezza è sempre un'istantanea
Dave Maasland, CEO di ESET Nederland, ha indicato tre componenti chiave per un'implementazione efficiente della NIS2: comunicazione, consapevolezza e resilienza collettiva. Ritiene che il rispetto della NIS2 non debba essere una questione di dovere per qualsiasi istituzione o individuo che ne sia interessato, ma piuttosto una questione di desiderio. Maasland confida che, una volta che individui e aziende avranno capito che si tratta di uno strumento di protezione, si renderanno conto che è nel loro interesse rispettarlo.
L'esperto di sicurezza digitale ha anche sottolineato che: "La sicurezza è sempre un'istantanea. Si può essere sicuri ora. Microsoft ha un exploit e domani potreste essere meno sicuri", il che significa che la sicurezza non è un risultato da raggiungere una volta sola, ma un processo continuo. È necessario valutare costantemente la propria posizione di sicurezza, affrontare le minacce in evoluzione e adottare un approccio proattivo per ridurre al minimo il rischio di essere colti di sorpresa.
Maasland suggerisce che è fondamentale essere preparati agli attacchi informatici e gestire efficacemente le loro conseguenze. L'ultima importante caratteristica che ha menzionato è la condivisione delle conoscenze e la collaborazione contro le minacce. Tutte queste caratteristiche sono, secondo le sue parole, incarnate da NIS2.
Una scadenza ravvicinata potrebbe significare forza lavoro aggiuntiva
Maik Wetzel, direttore dello sviluppo strategico del business di ESET DACH, ha esortato tutti coloro che saranno interessati dal NIS2 a non esitare e a iniziare subito ad allineare i processi e le politiche delle loro aziende e istituzioni. Ha sottolineato che, essendo la NIS2 una direttiva dell'UE, ci saranno alcune sfumature a livello di singoli Paesi.
Prendendo come esempio la Germania e la sua cascata di istituzioni federali ma anche statali che si occupano di cybersecurity, Wetzel ha sottolineato che potrebbe essere necessaria una forza lavoro specializzata supplementare per raggiungere la conformità alla NIS2 entro la scadenza piuttosto breve.
|
PUNTI PRINCIPALI |
||
|---|---|---|
|
La NIS2 è una nuova legislazione chiave dell'UE che rafforza la resilienza contro la criminalità informatica. |
||
|
Interesserà fino a 160.000 entità. |
||
|
La comunicazione, la consapevolezza e la resilienza collettiva sono fondamentali. |
||
|
L'attuazione potrebbe richiedere una forza lavoro specializzata aggiuntiva. |
||
Tutti e tre i relatori hanno concordato sulla necessità di una direttiva come la NIS2 e di una legislazione unificata sulla protezione informatica in tutta l'UE. Si sono rivolti a tutte le entità che ne saranno interessate, esortandole a iniziare subito a lavorare per la conformità alla NIS2, sottolineando che è nel loro interesse farlo. I relatori hanno inoltre sottolineato l' importanza di una comunicazione chiara e diretta e di una formazione efficace delle entità coinvolte come mezzo migliore per farle aderire alla nuova legislazione.
Quindi, se sapete che la vostra azienda sarà interessata dalla NIS2, seguite il consiglio di Maik Wetzel:
"Non esitate. Iniziate subito".
