NIS2 Cybersecurity

Home / NIS2 Cybersecurity

Conosci il significato di CYBERSECURITY?

E’ l’insieme delle procedure volte a proteggere sistemi, reti e programmi software da attacchi digitali, mettendo in sicurezza tutte le informazioni aziendali e minimizzando l’impatto di eventuali danni causati intenzionalmente e non.

 

Sai cosa rischia un’azienda sotto attacco informatico?

L’entità del danno subito a seguito di un attacco può avere portata e conseguenze diverse.

In assenza di backup periodici, la perdita dei dati è sicuramente il danno maggiore a cui è strettamente collegato l’accesso non autorizzato ad informazioni più o meno riservate e l’eventuale loro divulgazione.

Un impatto molto significativo può essere l’infiltrazione di malaware che bloccano processi di elaborazione o interferiscono con il corretto funzionamento di macchine connesse ai sistemi, oppure che modificano o deteriorano dati, falsando output e mandando in tilt procedure e risultati finali.

Vogliamo lasciarti alcuni spunti di riflessione importanti per tutelare le persone, i processi e le informazioni, concludendo con qualche dato significativo che forse non conosci: 

- sii consapevole che un attacco informatico non fa distinzioni: il pensiero “a me non succederà”, è uno dei primi parametri sui quali gli hacker professionisti fanno leva;

- scegli di mappare i tuoi sistemi informatici, individuando i possibili punti di intrusione;

- implementa dei sistemi di controllo, non solo per proteggere i tuoi sistemi ma soprattutto per monitorare i tentativi di intrusione: non è sufficiente attivare delle difese, bisogna verificare costantemente che siano all'altezza perchè quello che oggi per te non è un rischio, domani potrebbe diventarlo;

- pianifica la tua formazione e quella del tuo personale in materia di cyber sicurezza: non si tratta solo di fornire un “glossario” tecnico ma soprattutto di adeguare le abitudini di lavoro. Azioni a cui diamo poca importanza, come condividere dispositivi di memorizzazione dati (le classiche chiavi usb) sui PC aziendali, utilizzare password molto semplici e condividerle con i colleghi, lasciare in bella vista documentazione riservata, con dati di accesso ai sistemi aziendali, ecc sono la causa principale delle intrusioni nei sistemi informativi, quindi la principale fonte di danno;

- inserisci nel tuo budget una cifra sostenibile per tenere aggiornati i sistemi informatici aziendali: non aspettare di subire un attacco, potrebbe costarti molto più dell’investimento in sistemi di sicurezza adeguati.  

Ed ora qualche dato

- in Europa almeno 2/3 degli utenti internet ha subito un attacco informatico e il 60% dichiara di non essere in grado di tutelarsi. Il rischio di un attacco cibernetico oggi è considerato il secondo più grande rischio aziendale.

- In Italia il 67% delle imprese rileva un aumento dei tentativi di attacco, oltre il 60% delle aziende ha aumentato il budget per la sicurezza informatica.

- Il 53% delle imprese ha formalizzato la figura del Chief Information Security Officer e l’80% delle aziende dichiara di aver strutturato piani di formazione sui rischi cibernetici.

- Nel 49% delle organizzazioni la gestione del rischio cyber avviene in un processo integrato di risk management aziendale ma solo nel 32% delle aziende vengono applicate metodologie di quantificazione finanziaria del rischio. 

- Secondo il recente rapporto CLUSIT emerge una tendenza preoccupante alla crescita degli attacchi con Severity “Critical”, ovvero che hanno causato danni importanti per le vittime, come ingenti perdite economiche, elevate quantità di dati sottratti o il blocco delle operazioni, con gravi conseguenze sull'interruzione di servizi, ritardi nell'operatività dei processi o danni reputazionali.

- la cybersecurity è la principale priorità di investimento nel digitale in Italia ma il rapporto tra spesa in cybersecurity e PIL è pari solo allo 0,10%
 

La Direttiva NIS2

Pubblicata nella Gazzetta Ufficiale dell'Unione Europea il 27/12/2022, la Direttiva NIS 2 entra in vigore ad inizio 2023 con l'obiettivo di migliorare la cybersecurity degli Stati Europei, imponendo ad alcune organizzazioni che operano in settori "critici" una serie di OBBLIGHI stringenti. La nuova Direttiva ha abrogato la precedente a partire dal 18/10/2024 e l'Italia ha recepito la Direttiva con il Decreto Legislativo 138/2024.

Chi è soggetto alla Direttiva NIS2?

La nuova Direttiva distingue i Soggetti Essenziali e i Soggetti Importanti, abbandonando la precedente classificazione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD). I soggetti che rientrano nei Settori ad Alta Criticità e negli Altri Settori Critici vengono elencati negli Allegati 1 e 2 Direttiva NIS2.

La Direttiva identifica i soggetti che soddisfino specifici criteri di dimensionamento:

- tutte le grandi imprese dei settori individuati con più di 250 dipendenti, fatturato annuo > 50 milioni euro oppure totale bilancio > 43 milioni euro;

- le medie imprese con dipendenti tra 50 e 250, fatturato tra 10 e 50 milioni di euro oppure totale di bilancio < 43 milioni euro;

- le PA in perimetro con criteri variabili a seconda degli Stati Membri;

- altri soggetti, anche di dimensioni ridotte, specificatamente identificati dalla Direttiva.

Gli obblighi

- Governance: gli organi di gestione dei soggetti obbligati devono approvare le misure per la gestione dei rischi adottate dall'ente/azienda, seguire la formazione periodica sui temi di cybersecurity e garantire la formazione ai propri dipendenti.

- Risk Management: i soggetti obbligati devono valutare i rischi e attuare le misure tecniche ed organizzative necessarie per la mitigazione dei rischi stessi.

- Supply Chain: i soggetti obbligati dovranno tener conto delle vulnerabilità per ogni fornitore (non solo i fornitori di servizi ICT).

- Controlli e Sanzioni: differiscono in severità a seconda che il soggetto obbligato sia definito "Essenziale" oppure "Importante". La sanzione sarà calcolata sulla base di un importo minimo predefinito oppure di una percentuale del fatturato: massimo 10 milioni di euro o il 2% del totale del fatturato mondiale per i soggetti essenziali; massimo 7 milioni di euro o il 1,4% del totale del fatturato mondiale per i soggetti importanti. In casi gravi, si aggiunge la sospensione o il divieto temporaneo del dirigente/amministratore dal proprio incarico.

Come prepararsi

E' assolutamente necessario verificare prima di tutto se la propria azienda/ente rientri nell'elenco delle aziende considerate essenziali e/o importanti. Il secondo step, altrettanto importante, è valutare il proprio ivello di conformità come richiesto dalla Direttiva per non essere costretti ad importanti azioni correttive in tempi stretti.

In ogni caso, anche i soggetti non obbligati, devono cogliere questa importante opportunità di tutela del proprio perimetro di sicurezza, raccogliendo spunti importanti che permettano di gestire in futuro i rischi che si troveranno ad affrontare.

Pianifica le azioni per tutelare maggiormente le tue informazioni,
riducendo l’impatto di possibili attacchi informatici.
Scpri come possiamo aiutarti
info
Veronica Araldi 05 Novembre, 2024

Internet of Things (IoT): Innovazioni, Sfide e Opportunità per le Aziende

Negli ultimi anni, l'Internet of Things (IoT) si è evoluto rapidamente, rivoluzionando il modo in cui le aziende gestiscono i propri processi e interagiscono con i clienti.

info
Veronica Araldi 08 Ottobre, 2024

Ottimizzare le prestazioni del software

Come misurare i risultati per un business più efficiente.

info
Redazione 27 Maggio, 2024

Cybersecurity: affrontare le minacce emergenti e proteggere le aziende

Cybersecurity: priorità assoluta per le aziende

info
Linda Burchiellaro 10 Luglio, 2023

Penetration Test

L’importanza del penetration test come strumento per garantire la sicurezza delle infrastrutture digitali.

info
Linda Burchiellaro 09 Giugno, 2023

Test di vulnerabilità (VA)

Vulnerability Assessment: cos'è un test di vulnerabilità e come affrontarlo

info
Veronica Araldi 13 Febbraio, 2023

Cybersicurezza - Uno sguardo al mercato

Un primo sguardo allo stato dell'arte per non perdere il focus su uno degli argomenti più interessanti del panorama informatico globale.

info
Redazione 27 Ottobre, 2022

I cookie

Diamo ormai per scontato che le persone conoscano i cookie: navighiamo su un sito web e ci viene chiesto di dare il nostro consenso al loro utilizzo. Quanto davvero sappiamo dei cookie? Cosa sono e cosa fanno?

info
Redazione 29 Settembre, 2022

Il Cloud

Qual'è la soluzione più adatta per archiviare correttamente le informazioni aziendali?

info
Veronica Araldi 14 Luglio, 2022

La sicurezza non va in vacanza

Prendere coscienza del proprio contesto aziendale e sviluppare la corretta strategia a tutela di tutti

info
Veronica Araldi 29 Aprile, 2022

La manutenzione

Una delle priorità dell'azienda è mantenere la corretta disponibilità delle risorse, puntando all'efficientamento e salvaguandando la continuità operativa.