La resilienza informatica è uno dei temi su cui l’Unione europea si sta muovendo con più slancio e urgenza in termini di cybersecurity. Ciò non stupisce se si considera l’importanza che i processi e gli strumenti digitali ormai rivestono nella vita quotidiana di tutti i cittadini, a prescindere che ci si confronti con il mondo cyber in veste di consumatori, lavoratori, imprenditori o amministratori pubblici.
Data l’estrema interconnessione delle reti, delle applicazioni e delle piattaforme di gestione dei dati, la paralisi di un singolo sistema – dovuta a un attacco esterno o a un più banale incidente IT – può generare un blackout molto più esteso, portando potenzialmente a interruzioni di intere filiere.
Due framework per la resilienza informatica in UE
Concretamente, l’Unione europea sta cercando di aumentare la resilienza informatica con due framework normativi.
- Il primo è la Network & Information Security Directive 2, anche nota come Direttiva NIS2, entrata in vigore il 16 gennaio 2023. La NIS2 sarà vincolante dal 18 ottobre 2024, quando subentrerà all’attuale Network & Information Security Directive.
- Il secondo, ancora in fase di approvazione, è il Cyber Resilience Act (CRA), proposto il 15 settembre 2022 dalla Commissione europea. Il testo del dispositivo (identico alla versione di compromesso tra Parlamento e Consiglio del dicembre 2023) è stato approvato il 12 marzo 2024 dal Parlamento europeo e dovrà essere formalmente adottato dal Consiglio di Bruxelles prima di diventare legge.
Le differenze tra NIS2 e CRA
Quali ambiti ricoprono i due framework, e perché possono essere considerati complementari? Vediamo le differenze nel dettaglio.
- Rivolgendosi principalmente alle organizzazioni dei settori delle infrastrutture critiche e dei servizi essenziali, la NIS2 garantisce un livello più elevato di sicurezza informatica introducendo l’obbligo, per queste organizzazioni, di proteggere le proprie reti e i propri sistemi, di istituire strutture di governance, di rispettare i requisiti di segnalazione delle violazioni e di monitorare le catene di fornitura per i rischi di sicurezza informatica. Appare chiaro, dunque, come la Direttiva NIS2 si concentri sul miglioramento della sicurezza delle aziende stesse.
- Il CRA punta ad accrescere la resilienza informatica nell’UE attraverso standard comuni di cybersicurezza per i prodotti con elementi digitali - principalmente hardware e software il cui “uso previsto e prevedibile comprende la connessione diretta o indiretta dei dati a un dispositivo o a una rete” - e richiede alle imprese di dare priorità agli output che producono o vendono, in ottica di cyber resilience.
I punti chiave del Cyber Resilience Act
L’obiettivo principale del Cyber Resilience Act è quello di affrontare il problema dell’inadeguatezza delle misure di sicurezza informatica in un’ampia gamma di prodotti disponibili sul mercato.
A tal fine, il CRA stabilisce un quadro completo per i requisiti di cybersecurity dei “prodotti con elementi digitali”, definendo gli obblighi di cybersecurity per hardware e software, tra cui apparecchi IoT e sistemi operativi.
Il CRA impone inoltre valutazioni di sicurezza, procedure di gestione delle vulnerabilità e comunicazione agli utenti di informazioni rilevanti per la sicurezza. Infine, le organizzazioni devono fornire aggiornamenti di sicurezza tempestivi lungo l’intero ciclo di vita del prodotto.
Resilienza informatica, i 5 takeaways sulla missione dell’UE
L’UE sta dunque compiendo progressi significativi nell’affrontare le minacce – sempre più estese – rivolte al mondo digitale, e lo sta facendo attraverso l’attuazione della strategia di cybersecurity pubblicata dalla Commissione europea nel 2020.
Ciascuna delle iniziative finora avviate mira a rafforzare le pratiche di cybersecurity e a migliorare la resilienza informatica in tutti i settori agendo su ambiti specifici pur mantenendo un approccio integrato.
La missione dell’UE, in questo senso, può essere schematizzata in 5 takeaways.
- Costruire un sistema di controllo e notifica che innalzi il livello di garanzia della sicurezza in tutti i comparti, offrendo un vantaggio competitivo alle aziende che dispongono di un programma di sicurezza maturo.
- Aumentare e migliorare le buone pratiche delle imprese che fanno affidamento sulle tecnologie digitali sia per condividere asset e processi lungo la catena del valore, sia per realizzare prodotti innovativi.
- Favorire l’adozione di strumenti e approcci idonei alla rapida identificazione e segnalazione delle minacce informatiche, man mano che si evolvono nello scenario globale.
- Proteggere i dati di imprese, enti governativi e cittadini attraverso la promozione di una cultura digitale condivisa.
- Contribuire allo sviluppo dell’economia digitale europea facendo leva su ecosistemi e filiere sempre più sicuri, affidabili e resilienti.
Resilienza informatica, quanto conta la conformità normativa
È chiaro, dunque, come rispettare normative come il Cyber Resilience Act e la Direttiva NIS2 non sia semplicemente una questione di sanzioni da evitare, ma un tassello chiave per assicurarsi una pronta risposta in caso di incidente informatico andato a segno. La conformità aziendale a queste regolamentazioni fornisce una struttura solida per reagire dinanzi a minacce sempre più sofisticate.
In quest'ottica, un servizio di Managed Detection and Response (MDR) fa la differenza: oltre a monitorare costantemente le reti per identificare e rispondere rapidamente agli attacchi, fornisce anche un livello di protezione proattivo, supportando le imprese nel mantenere la continuità operativa e minimizzare l'impatto delle violazioni.
