Resilienza informatica: cosa dice l’UE in 5 takeaways

La resilienza informatica è uno dei temi su cui l’Unione europea si sta muovendo con più slancio e urgenza in termini di cybersecurity. Ciò non stupisce se si considera l’importanza che i processi e gli strumenti digitali ormai rivestono nella vita quotidiana di tutti i cittadini, a prescindere che ci si confronti con il mondo cyber in veste di consumatori, lavoratori, imprenditori o amministratori pubblici.

Data l’estrema interconnessione delle reti, delle applicazioni e delle piattaforme di gestione dei dati, la paralisi di un singolo sistema – dovuta a un attacco esterno o a un più banale incidente IT – può generare un blackout molto più esteso, portando potenzialmente a interruzioni di intere filiere.

Due framework per la resilienza informatica in UE

Concretamente, l’Unione europea sta cercando di aumentare la resilienza informatica con due framework normativi.

1. Il primo è la Network & Information Security Directive 2, anche nota come Direttiva NIS2, entrata in vigore il 16 gennaio 2023. La NIS2 sarà vincolante dal 18 ottobre 2024, quando subentrerà all’attuale Network & Information Security Directive.
   
   
2. Il secondo, ancora in fase di approvazione, è il Cyber Resilience Act (CRA), proposto il 15 settembre 2022 dalla Commissione europea. Il testo del dispositivo (identico alla versione di compromesso tra Parlamento e Consiglio del dicembre 2023) è stato approvato il 12 marzo 2024 dal Parlamento europeo e dovrà essere formalmente adottato dal Consiglio di Bruxelles prima di diventare legge.

Le differenze tra NIS2 e CRA

Quali ambiti ricoprono i due framework, e perché possono essere considerati complementari? Vediamo le differenze nel dettaglio.

1. Rivolgendosi principalmente alle organizzazioni dei settori delle infrastrutture critiche e dei servizi essenziali, la NIS2 garantisce un livello più elevato di sicurezza informatica introducendo l’obbligo, per queste organizzazioni, di proteggere le proprie reti e i propri sistemi, di istituire strutture di governance, di rispettare i requisiti di segnalazione delle violazioni e di monitorare le catene di fornitura per i rischi di sicurezza informatica. Appare chiaro, dunque, come la Direttiva NIS2 si concentri sul miglioramento della sicurezza delle aziende stesse.
   
   
2. Il CRA punta ad accrescere la resilienza informatica nell’UE attraverso standard comuni di cybersicurezza per i prodotti con elementi digitali - principalmente hardware e software il cui “uso previsto e prevedibile comprende la connessione diretta o indiretta dei dati a un dispositivo o a una rete” - e richiede alle imprese di dare priorità agli output che producono o vendono, in ottica di cyber resilience.

I punti chiave del Cyber Resilience Act

L’obiettivo principale del Cyber Resilience Act è quello di affrontare il problema dell’inadeguatezza delle misure di sicurezza informatica in un’ampia gamma di prodotti disponibili sul mercato.

A tal fine, il CRA stabilisce un quadro completo per i requisiti di cybersecurity dei “prodotti con elementi digitali”, definendo gli obblighi di cybersecurity per hardware e software, tra cui apparecchi IoT e sistemi operativi.

Il CRA impone inoltre valutazioni di sicurezza, procedure di gestione delle vulnerabilità e comunicazione agli utenti di informazioni rilevanti per la sicurezza. Infine, le organizzazioni devono fornire aggiornamenti di sicurezza tempestivi lungo l’intero ciclo di vita del prodotto.

Resilienza informatica, i 5 takeaways sulla missione dell’UE

L’UE sta dunque compiendo progressi significativi nell’affrontare le minacce – sempre più estese – rivolte al mondo digitale, e lo sta facendo attraverso l’attuazione della strategia di cybersecurity pubblicata dalla Commissione europea nel 2020.

Ciascuna delle iniziative finora avviate mira a rafforzare le pratiche di cybersecurity e a migliorare la resilienza informatica in tutti i settori agendo su ambiti specifici pur mantenendo un approccio integrato.

La missione dell’UE, in questo senso, può essere schematizzata in 5 takeaways.

1. Costruire un sistema di controllo e notifica che innalzi il livello di garanzia della sicurezza in tutti i comparti, offrendo un vantaggio competitivo alle aziende che dispongono di un programma di sicurezza maturo.
   
   
2. Aumentare e migliorare le buone pratiche delle imprese che fanno affidamento sulle tecnologie digitali sia per condividere asset e processi lungo la catena del valore, sia per realizzare prodotti innovativi.
   
   
3. Favorire l’adozione di strumenti e approcci idonei alla rapida identificazione e segnalazione delle minacce informatiche, man mano che si evolvono nello scenario globale.
   
   
4. Proteggere i dati di imprese, enti governativi e cittadini attraverso la promozione di una cultura digitale condivisa.
   
   
5. Contribuire allo sviluppo dell’economia digitale europea facendo leva su ecosistemi e filiere sempre più sicuri, affidabili e resilienti.

Resilienza informatica, quanto conta la conformità normativa

È chiaro, dunque, come rispettare normative come il Cyber Resilience Act e la Direttiva NIS2 non sia semplicemente una questione di sanzioni da evitare, ma un tassello chiave per assicurarsi una pronta risposta in caso di incidente informatico andato a segno. La conformità aziendale a queste regolamentazioni fornisce una struttura solida per reagire dinanzi a minacce sempre più sofisticate.

In quest'ottica, un servizio di Managed Detection and Response (MDR) fa la differenza: oltre a monitorare costantemente le reti per identificare e rispondere rapidamente agli attacchi, fornisce anche un livello di protezione proattivo, supportando le imprese nel mantenere la continuità operativa e minimizzare l'impatto delle violazioni.