La direttiva (UE) 2022/2555, conosciuta come NIS2 (Network and Information Systems), rappresenta un punto di svolta nella gestione della sicurezza delle reti e delle infrastrutture informatiche e, di conseguenza, dei dati, introducendo nuove e più stringenti norme volte a garantire un elevato livello di cybersecurity in tutti i settori considerati critici sia per l’elevato rischio di potenziali attacchi sia a livello difensivo.
Il settore energetico è sicuramente fra questi, data la sua centralità e la crescente digitalizzazione dei suoi processi. Le infrastrutture energetiche sono infatti diventate obiettivi sempre più appetibili per gli attacchi informatici, con conseguenze molto serie e impattanti, che possono arrivare all’interruzione dei servizi energetici essenziali.
Nel settore energetico, le perdite finanziare causate da criticità sulle infrastrutture informatiche e cyberattacchi ammontano a 22-25 milioni di € l’anno, senza contare i conseguenti danni reputazionali.
Cosa cambia con la NIS2?
La NIS2 introduce una serie di novità rispetto alla versione precedente della direttiva (NIS). Vediamo insieme le più significative.
Requisiti più stringenti
La direttiva prescrive l’implementazione non solo di standard minimi di sicurezza come previsto dalla precedente direttiva (NIS) e dal Regolamento sulla protezione dei dati personali (GDPR), ma di misure di sicurezza e preventive più elevate.
Impatto sui processi aziendali
La tutela dei propri sistemi informatici e dei dati viene messa in atto attraverso la definizione di procedure chiare, strutturate e dimostrabili in ambito di controllo.
Coinvolgimento del personale
Un ruolo cruciale nei processi di sicurezza è quello delle persone, le quali, se coinvolte nel processo di gestione e sicurezza del dato, devono avere un ruolo ben definito e sapere quali procedure seguire in caso di attacco informatico.
Maggiori obblighi di reporting
Le aziende sono tenute a notificare tempestivamente gli incidenti informatici significativi alle autorità competenti (entro 24 ore dalla rilevazione).
Ampliamento del perimetro
La direttiva estende la sua applicazione a un numero maggiore di operatori e settori, tra cui anche le piccole e medie imprese che operano nel settore energetico.
Impatto sull’intera supply chain
Gli obblighi della direttiva si estendono a tutta la catena di fornitura del dato, coinvolgendo quindi, ad esempio, i fornitori esterni, i cui processi di sicurezza dovranno essere compliant rispetto a quelli implementati dall’azienda.
Collaborazione tra pubblico e privato
Viene incentivata una maggiore collaborazione tra le aziende e le autorità pubbliche per la condivisione delle informazioni e la definizione di strategie di risposta comuni.
Soluzioni per l’adeguamento alla normativa
Per adeguarsi ai nuovi obblighi previsti dalla NIS2, è opportuno intraprendere una serie di azioni concrete.
Formazione del personale
Tutti i dipendenti, a tutti i livelli, devono essere adeguatamente formati sulle tematiche della cybersecurity, in modo da essere consapevoli dei rischi e in grado di adottare comportamenti sicuri, ma anche, come già citato in precedenza, di sapere come muoversi in caso di attacco. La formazione rappresenta la primaria barriera di difesa, considerando che circa il 95% degli incidenti informatici hanno alla base l’errore umano.
Soluzioni tecnologiche
È necessario adottare soluzioni tecnologiche all’avanguardia, superando il semplice antivirus a favore di software più evoluti con sistemi XDR (extended detection and response); antivirus proattivi che grazie all’Intelligenza Artificiale hanno maggiori capacità di prevedere rischi portati da determinati comportamenti degli utenti. Sistemi di sicurezza avanzati come quelli di intrusion detection ed extrusion detection giocano un ruolo fondamentale nella protezione delle infrastrutture informatiche. I sistemi di intrusion detection monitorano e rilevano tentativi di accesso non autorizzato ai sistemi, agendo come una barriera per prevenire intrusioni esterne. Al contrario, i sistemi di extrusion detection controllano il traffico dati in uscita, impedendo trasferimenti non autorizzati di informazioni sensibili dall’interno all’esterno dell’azienda. Entrambi i sistemi operano come strumenti di protezione attiva, aumentando la sicurezza complessiva e riducendo i rischi di compromissione dei dati.
Segmentazione della rete
La segmentazione della propria rete informatica confina l’eventuale danno causato dagli utenti o dagli amministratori di sistema alla sottorete in cui si è verificato, senza coinvolgere l’intera rete.
Perché è importante adeguarsi alla NIS2?
La NIS2, oltre a essere un obbligo di legge a cui adeguarsi per evitare di incorrere in pesanti sanzioni (fino a 10 milioni di euro o equivalenti al 2% del fatturato globale annuo, a seconda di quale sia superiore), rappresenta un’opportunità per migliorare la sicurezza informatica delle proprie infrastrutture e proteggere il proprio business. Adeguarsi significa quindi acquisire un vero e proprio vantaggio competitivo da diversi punti di vista.
Vantaggi reputazionali
L’adeguamento alla NIS2 può essere sfruttato a livello commerciale e di marketing: la scelta di agire sin da ora per migliorare la sicurezza dei propri sistemi e processi relativi alla gestione dei dati permette infatti alla società di posizionarsi come realtà all’avanguardia, che ha a cuore la sicurezza dei dati dei propri clienti; tutto questo in un settore come quello dell’energia in cui quest’ultimo tema è sentito e presenta ampi margini di miglioramento.
Miglioramento dell’efficienza operativa
L’adeguamento tecnologico e organizzativo alle nuove norme è piuttosto impattante e dispendioso sul breve termine, ma a medio e lungo termine tutto ciò viene ripagato in termini di una maggiore efficienza operativa: procedure chiare e di dominio pubblico all’interno dell’azienda permettono di diminuire fortemente il rischio informatico e di agire in modo più consapevole, snello e veloce in caso di attacchi. Più che di costi, parliamo quindi di un investimento strategico sulla resilienza della propria azienda.
Miglioramento delle competenze interne
Un’altra sfida e, al tempo stesso, un’opportunità, è legata al tema della formazione: l’adeguamento alla NIS2 comporterà infatti per le aziende coinvolte la necessità di investire in modo costante sull’aggiornamento del personale in materia di cybersecurity e procedure correlate, coltivando così le competenze delle proprie risorse umane. Anche in questo caso si tratta quindi di un investimento strategico in grado di spingere l’azienda nel suo complesso a evolversi sempre di più.
A partire dal 18 ottobre 2024, data in cui è entrato in vigore il decreto legislativo n. 138 del 4 settembre 2024, che recepisce la direttiva, ogni momento è buono per adeguarsi alla normativa e cogliere tutte le opportunità a questa collegate.
