Negli ultimi giorni di maggio, si sono verificati due eventi principali nel mondo della cybersicurezza in Italia. Il primo è la scoperta di un nuovo malware, realizzato nel nostro Paese e ribattezzato “Cambiare rotta”. Questo malware agisce come un ransomware, crittografando file e directory senza compromettere il sistema operativo e altre funzioni del computer o del server infetto, ma rendendo totalmente inaccessibili i file colpiti. Diversamente dagli altri malware di questo tipo, non chiede riscatto e non fornisce alcuna istruzione su come recuperare i file, lasciando invece un messaggio politico legato alla situazione mediorientale. Questo comportamento è associato all’hacktivism e mira a distruggere i dati dei sistemi colpiti piuttosto che a compiere estorsioni.
Il secondo evento è la presentazione di un aggiornamento del rapporto Clusit sullo stato della cybersicurezza, dedicato al settore Energy & Utilities, che mette in evidenza come dal 2018 al 2022 gli attacchi nel settore siano raddoppiati. Nonostante una flessione del 15% nel 2023, il primo trimestre del 2024 mostra una tendenza preoccupante, con più della metà degli incidenti rispetto all’intero 2023. Il malware rimane la principale minaccia, mentre l’Europa e gli Stati Uniti sono le regioni più colpite. L’unica nota positiva del rapporto è che i primi mesi del 2024 mostrano una flessione negli impatti critici dovuti agli attacchi, il che significa minori danni per le aziende coinvolte.
Il punto della situazione
Entrambi questi argomenti hanno messo in evidenza l’urgenza della direttiva NIS2, che dovrà essere recepita dagli Stati membri dell’UE entro il 17 ottobre 2024 e le cui misure inizieranno a entrare in vigore il 18 ottobre 2024. Nonostante la scadenza vicina, aziende e pubbliche amministrazioni sembrano in ritardo nell’attuare le giuste misure di compliance a questa importante direttiva. I motivi di questo ritardo sono vari e dipendono principalmente dalla complessità dei termini della normativa e dai contorni sfumati, con alcuni elementi che possono essere soggetti alla discrezione dello Stato membro. Questo è particolarmente vero per le amministrazioni locali che forniscono servizi la cui interruzione potrebbe avere un impatto significativo su attività sociali o economiche critiche.
Cos’è la NIS2?
L’obiettivo principale della direttiva è migliorare la sicurezza informatica e la resilienza delle reti e dei sistemi informativi in tutta l’Unione Europea. NIS2 mira a rafforzare la cooperazione tra gli Stati membri e a stabilire norme minime di sicurezza, suddividendo le entità tra settori “critici” e ad “alta criticità” e tra operatori di servizi “essenziali” e di servizi “importanti”, a seconda della loro rilevanza per la cybersicurezza europea.
Chi deve adeguarsi alla compliance?
La direttiva NIS2 si applica a una vasta gamma di settori e di servizi essenziali, coinvolgendo le aziende che operano nei settori dell’energia, trasporti, servizi bancari e finanziari, settore sanitario, acque, infrastrutture digitali, servizi postali e di corriere, gestione dei rifiuti, produzione, trasformazione e distribuzione di alimenti, fabbricazione (diversi settori manifatturieri), ricerca e pubblica amministrazione. La NIS2 riguarda principalmente le grandi aziende, ma anche le PMI, le piccole imprese e le microimprese saranno coinvolte se facenti parte della supply chain delle grandi aziende soggette al regolamento. Allo stesso modo, secondo quanto riportato dall’ACN, le piccole imprese e le microimprese potranno essere soggette a identificazione da parte dello Stato membro e, di conseguenza, inserite nell’ambito di applicazione.
Sanzioni
La direttiva prevede anche sanzioni per le entità che non rispettano le norme, con multe che possono arrivare fino a 10 milioni di euro o il 2% del fatturato globale annuo.
Una compliance difficile
Per adeguarsi alla direttiva NIS2, le aziende e le pubbliche amministrazioni devono intraprendere una serie di azioni, in base al loro coinvolgimento nella direttiva, per garantire la conformità e migliorare la cybersicurezza. Le aziende devono implementare una strategia basata sulla gestione dei rischi, che prevede l’identificazione, valutazione e mitigazione dei rischi informatici. Ciò include lo sviluppo di piani di gestione degli incidenti, compresi i piani di recupero da data breach. È essenziale garantire la continuità operativa attraverso backup e piani di ripristino. Inoltre, le aziende devono assicurare la cybersicurezza dei sistemi informatici e implementare l’uso di crittografia e autenticazione a più fattori. È estremamente importante monitorare la sicurezza dei fornitori e dei servizi esterni. Le pubbliche amministrazioni dovranno avvalersi dei servizi cloud che hanno ricevuto l’apposita certificazione da ACN. In caso di incidente significativo, le aziende devono notificare le autorità competenti entro 24 ore dall’accaduto, fornire una notifica dettagliata entro 72 ore e presentare una relazione finale entro un mese.
Un valido aiuto da Hypergrid
La messa in pratica di questa direttiva può rivelarsi complessa; proprio per questo motivo, Hypergrid si propone come un partner affidabile per accompagnare aziende e le pubbliche amministrazioni in questo percorso, fornendo tutte le soluzioni necessarie per la sicurezza informatica e la compliance con la NIS2.
Contattaci per maggiori informazioni: https://hypergrid.it/contatti/
📞 Telefono: 0382 528875
📧 Email: info@hypergrid.it
🌐 Web: https://hypergrid.it
Devi effettuare l'accesso per postare un commento.