MAGAZINE
Attacchi informatici, fenomeno in crescita soprattutto in Italia
L’inarrestabile e rapida diffusione del digitale, il suo occupare sempre più spazio e importanza fra le attività umane, porta inevitabilmente con sé anche una crescita dei cosiddetti crimini informatici.
Non è, infatti, casuale che la sicurezza informatica sia considerata una dei “pilastri” della rivoluzione digitale che stiamo attraversando.
Eppure, stando ai dati del Rapporto Clusit 2024 sulla sicurezza dell’ICT in Italia, nel 2023 il prevedibile incremento nel numero dei cyber attack è stato particolarmente severo.
Considerando solo gli incidenti gravi avvenuti a livello globale, il nostro Paese è stato il bersaglio nell’11% dei casi per un totale di 310 attacchi su 2.779.
Un balzo preoccupante, considerando che un anno prima la percentuale era del 7,6%, per un aumento del 65% in dodici mesi (a livello globale è stato del 12%).
Di questi attacchi, la metà ha avuto un grado “critico” di gravità, ragione che ha spinto gli estensori del Rapporto a parlare di “Italia sotto assedio”.
Come invertire la rotta? Le azioni sono diverse per complessità, tempi di realizzazione e attori, chiamando in causa sia i privati sia le istituzioni.
In ogni caso, hanno a che fare con il predisporre investimenti più consistenti e mirati (altre nazioni come Francia o Germania investono il doppio rispetto a noi), giungere a una maggiore consapevolezza della centralità del fenomeno per la vita delle organizzazioni, spingere le nuove generazioni verso percorsi di studio che formino professionalità digitalmente competenti, irrobustire le iniziative di formazione del personale e, non ultimo per importanza, aggiornare costantemente i quadri normativi.
In questo senso, va vista la profonda revisione della Direttiva europea Network Information Security o NIS (2016/1148) approvata nel 2016 e pensata per stabilire regole comuni in materia di cybersecurity.
LA Direttiva 2022/2555 - NIS 2
La cosiddetta NIS 2 (Direttiva 2022/2555) prosegue – con maggior slancio – nel solco di quanto iniziato otto anni prima, sia rafforzando e chiarendo ciò che è stato stabilito nella prima versione, sia introducendo nuove misure e coinvolgendo altri soggetti in maniera da migliorare i livelli di sicurezza tanto in termini di capacità di risposta come di resilienza.
L’obiettivo a tendere è giungere a una sempre più decisa uniformità dei 27 Stati membri in materia cyber, oggi invece piuttosto lontana.
Approvata nel 2022 ed entrata in vigore nel gennaio 2023, la Direttiva verrà recepita in Italia questo autunno, precisamente il 17 ottobre.
-
Quali sono le differenze riguardo alla prima NIS e i punti salienti di questa seconda?
Innanzitutto, si notano il consistente ampliamento del perimetro dei soggetti interessati (appartenenti a più settori merceologici) e la nuova distinzione tra Soggetti Essenziali e i Soggetti Importanti.
Tale estensione, oltre alla tipologia di attività va a toccare anche la dimensione dei soggetti coinvolti, visto che anche le imprese di medie dimensioni (e in alcuni casi specifici addirittura le piccole) divengono destinatarie delle misure della Direttiva (come da Allegati 1 e 2).
Un altro elemento di novità ha a che fare con l’aumentata attenzione per le questioni di governance.
L’articolo 20, dedicato al tema, considera la gestione sicurezza informatica un compito di primaria importanza, specificando come questa sia una responsabilità diretta di coloro che guidano l’organizzazione.
Ciò significa che chi ricopre ruoli gestionali deve farsi carico dell’approvazione, supervisione e attuazione di misure di cyber security, rispondendo in prima persona nel caso vengano rilevate delle violazioni alla norma.
Inoltre, agli organismi di governo è affidato il compito tanto di promozione come di partecipazione ad attività formative.
Queste dovranno avere due obiettivi principali: accrescere le competenze e aumentare l’awareness sull’importanza della sicurezza informatica e sui rischi di attacchi cyber.
Rispetto alla prima NIS – in particolare nell’articolo 21 – la Direttiva 2 spinge affinché le strategie di gestione del pericolo cyber abbiano un approccio “multirischio”.
In pratica, i soggetti chiamati ad adottare misure di sicurezza informatica non devono focalizzarsi solo sui pericoli di natura “tecnica”, ma allargare il campo di analisi e predisporre un ventaglio più ampio di azioni in grado di proteggere i sistemi.
In questo senso, vanno valutati anche i rischi derivanti da cause fisiche, ambientali, umane (frutto di errore o dolo), o provenienti dalle catene di approvvigionamento o da processi interni poco efficienti.
Tra le novità si segnala come siano meglio codificate e rese stringenti le regole di segnalazione di incidente.
In particolare, i soggetti interessati dovranno comunicare al CSIRT (Computer Security Incident Response Team) o all’autorità competente un’informazione di “Preallarme” entro 24 ore da quando si è avuto notizia dell’incidente significativo.
Mentre la “Notifica dell’incidente” va fatta entro 72 ore.
Infine, vi sono le sanzioni previste per chi non ottempera a quanto prescritto.
La Direttiva distingue tra quelle dedicate ai soggetti essenziali e le sanzioni relative ai soggetti importanti.
Per i primi si può giungere fino a un massimo di 10 milioni di euro o al 2% del fatturato annuo a livello globale. Per i secondi, invece, fino a 7 milioni di euro o nell'1,4% del fatturato globale.
L’effettiva e piena entrata della NIS 2 è anche un’occasione per fare, finalmente, della cybersecurity un pilastro strategico della propria attività.
Bureau Veritas Nexta, con i suoi esperti, è in grado di aiutare le organizzazioni a compiere quelle azioni necessarie sia per renderle conformi alla normativa di legge – evitando sanzioni – sia per rafforzare le proprie difese dagli attacchi.