La conformità alla Direttiva NIS 2 non è solo una necessità legale, ma rappresenta un’opportunità per ogni azienda di migliorare la sua sicurezza, efficienza operativa e reputazione. In che modo Sielte guida le aziende attraverso questo processo.
L’evoluzione tecnologica – con particolare riferimento agli strumenti di intelligenza artificiale, ma anche alla connessione costante di tutti i device privati e professionali nonché alla modalità di lavoro agile (smart working) sdoganata durante l’emergenza pandemica – implica un cyber risk sempre più elevato. In questo quadro si inserisce la Direttiva (UE) 2022/2555, meglio nota come Direttiva NIS 2 (Network and Information Security Directive), che – pubblicata in Gazzetta Ufficiale dell’Ue il 27 dicembre 2022 ed entrata in vigore il 17 gennaio 2023 – costituisce un avanzamento significativo nella legislazione europea per la sicurezza delle reti e delle infrastrutture digitali.
Di fatto, è stata proprio una rilevante accelerazione del rischio di cybersecurity che ha indotto l’Europa a rivedere in modo profondo la precedente Direttiva NIS 2016/1148, emanando la NIS 2. Compiendo un indispensabile passo in avanti nel campo della resilienza digitale e della gestione delle minacce informatiche. Un avanzamento significativo nella legislazione europea per la sicurezza delle reti e delle infrastrutture digitali; un quadro normativo volto a rafforzare la cyberscurity all’interno dell’Ue, con particolare attenzione ai settori critici come energia (tra i temi più attuali c’è la vulnerabilità nel comparto Energy & Utilities), trasporti e servizi finanziari.
Le aziende, dunque, sono chiamate a conformarsi a diversi requisiti fondamentali entro il 18 ottobre 2024, adottando una serie di misure tecniche e organizzative adeguate non solo per proteggere i loro sistemi e dati informatici, ma anche per prevenire (o comunque minimizzare) gli impatti degli incidenti informatici. E per segnalare tempestivamente gli incidenti significativi alle autorità competenti.
Sanzioni per le imprese in caso di mancato adempimento
In particolare, le disposizioni normative della NIS 2 si applicano a due categorie di soggetti definiti come “essenziali” e “importanti”. Soggetti che non operano esclusivamente nei comparti in origine previsti dalla Direttiva NIS (dal settore Energy & Utilities a quello dei trasporti alla sanità), ma forniscono anche una serie di servizi altrettanto critici (a titolo di esempio: quelli postali e dei corrieri; di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica. E ancora, dai servizi legali a quelli della grande distribuzione alimentare).
La Direttiva NIS 2 prevede che gli operatori inclusi nel suo campo di applicazione debbano approntare misure tecniche, operative e organizzative consone e proporzionate per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti. E le aziende che non si allineano? Per loro i rischi sono molteplici e (potenzialmente) devastanti. In primis, la non conformità può determinare severe sanzioni legali dirette nei confronti di amministratori e finanziarie (sanzioni che possono incidere significativamente sul bilancio aziendale). Senza un sistema di monitoraggio delle normative e compliance adeguato, infatti, le aziende potrebbero non essere in grado di rilevare in modo tempestivo gli incidenti di sicurezza, con conseguenti danni alla reputazione e una riduzione della fiducia di clienti e partner.
Ulteriore, rilevante aspetto è che gli attacchi informatici possono causare interruzioni operative, con conseguenti perdite economiche e inefficienze. Con l’aumento delle cyberminacce, poi, le aziende non conformi diventano bersagli più facili per gli attaccanti. Infine, l’incapacità di predire e prevenire i guasti attraverso l’analisi dei dati e l’intelligenza artificiale può portare a interventi di manutenzione reattivi piuttosto che proattivi, incrementando i tempi di inattività e riducendo la disponibilità dei servizi. Non tralasciando il fatto che la mancanza di integrazione con i sistemi esistenti all’interno dell’azienda rischia di causare discontinuità nella gestione degli asset, complicando ulteriormente il processo di compliance e gestione del rischio.
Benefici della conformità alla NIS 2
Allinearsi alla Direttiva NIS 2 non solo evita i rischi potenziali, ma offre anche alle aziende una serie di vantaggi strategici e operativi. Certificando un impegno concreto nella protezione dei dati e dei sistemi e aumentando la fiducia di clienti, partner e investitori. Implementare le misure previste dalla NIS 2 – grazie a strumenti e soluzioni tecnologiche mirati –, equivale a rafforzare significativamente la protezione contro gli attacchi informatici, migliorando la resilienza dell’infrastruttura aziendale.
Tra i principali benefici raggiungibili c’è il monitoraggio in tempo reale degli asset aziendali IT (Information Technology), OT (Operational Technology) e IoT (Internet of Things), finalizzato a fornire una visibilità immediata sullo stato dei dispositivi e delle reti (la visibilità costituisce le basi della sicurezza, e offre alle organizzazioni gli strumenti per monitorare, analizzare e tutelare la loro infrastruttura digitale in modo efficiente). Ciò permette di rispondere velocemente ad eventuali problemi, automatizzando le remediation sugli asset aziendali, riducendo i tempi di inattività e migliorando l’efficienza operativa.
La conformità alla NIS 2 da parte delle aziende facilita poi l’adozione di misure avanzate – come la gestione di accessi e identità (IAM) e l’autenticazione a più fattori (MFA) –, che migliorano la sicurezza operativa e riducono i rischi di accessi non autorizzati. L’uso di strumenti specifici per questo contesto permette un’analisi degli eventi e predizione di guasti mediante l’intelligenza artificiale, a vantaggio di interventi preventivi e di una maggiore disponibilità dei servizi.
Inoltre, sarebbe semplificata l’automatizzazione sulla valutazione del rischio (Risk Management), riducendo il carico di lavoro e migliorando la precisione delle valutazioni. Senza dimenticare che, per un’azienda, essere conforme alla NIS 2 agevola anche l’adeguamento ad altre normative di sicurezza e standard internazionali, come l’IEC 62443 (lo standard internazionale per la cybersicurezza dei sistemi di controllo industriale) oppure il NERC CIP (il “Programma di protezione delle infrastrutture critiche della North American Electric Reliability Corporation”, costituito da una serie di requisiti internazionali mirati ad assicurare l’infrastruttura critica per il Bulk Electric System del Nord America).
Affrontare con Sielte le sfide della cybersecurity
Le imprese sono dunque chiamate a ricoprire un ruolo attivo nella protezione dei propri sistemi informativi, per limitare il rischio di attacchi informatici e assicurare la continuità operativa aziendale. Grazie alla sua vasta esperienza e alla partnership con fornitori di soluzioni tecnologiche avanzate, Sielte è in grado di assistere le aziende nel percorso di conformità alla Direttiva NIS 2, effettuando – attraverso strumenti automatizzati per il risk scoring delle reti OT – una valutazione completa dei rischi e della conformità. Sielte Cyber Security, la business unit volta a fornire ai propri clienti e partner una serie di attività e soluzioni che permettano di elevare il livello di sicurezza delle loro infrastrutture, collabora con i fornitori leader per implementare soluzioni di monitoraggio continuo, gestione delle anomalie e segmentazione IT/OT.
Sielte offre poi soluzioni e consulenza per migliorare la consapevolezza sull’utilizzo dei sistemi informatici all’interno delle organizzazioni (security awareness) e le pratiche da seguire per ridurre al minimo i rischi di cybersecurity. Fornisce supporto costante per il mantenimento della conformità, inclusa la gestione degli accessi ai dati e la loro protezione attraverso crittografia. Un esempio concreto delle soluzioni offerte da Sielte comprende l’adozione di strumenti per il monitoraggio continuativo delle infrastrutture e la rilevazione di cyberminacce industriali, come i sistemi di controllo centrale e i collettori intelligenti per reti industriali distribuite.
Strumenti, questi, che non solo facilitano la conformità alla NIS 2 e ad altri standard di sicurezza, ma offrono anche la possibilità di remediation automatica dell’IT, permettendo di identificare e risolvere rapidamente le minacce. Naturalmente, correlati a questo servizio, Sielte è in grado di erogare i suoi servizi gestiti in ambito cybersecurity e networking, forte delle competenze e partnership di primo livello che caratterizzano l’azienda.
