La conformità alle norme in materia di cybersicurezza: garantire un livello elevato di tutela del patrimonio informatico aziendale e del prodotto con elementi digitali

L’obiettivo dell’Unione è garantire un livello comune elevato di protezione contro gli attacchi informatici. La normativa impone requisiti rigidi di governance, gestione dei rischi e segnalazione degli incidenti.

Il Rapporto Clusit 2024 ha sottolineato che gli investimenti in cybersicurezza effettuati delle imprese italiane nel corso del 2023 sono stati pari a 2,149 miliardi di euro ovvero pari a circa 0,12% del PIL ma evidenziando anche che “Paesi europei confrontabili come la Francia e la Germania spendono quasi il doppio rispetto all’Italia per non parlare di nazioni come gli USA che spendono lo 0,3% del PIL.”

Questi dati sono confermati dal fatto che il nostro Paese appare sempre più nel mirino dei cyber criminali: lo scorso anno in Italia è andato a segno l'11% degli attacchi gravi globali mappati dal Clusit (era il 7,6% nel 2022), per un totale di 310 attacchi, che comporta una crescita degli eventi del 65% rispetto al 2022. Con uno sguardo agli ultimi cinque anni, emerge che oltre il 47% degli attacchi totali censiti in Italia dal 2019 si è verificato nel 2023.

La distribuzione delle vittime per categoria, in continuità con il passato, vede nel 2023 il manifatturiero al secondo posto dopo la Pubblica Amministrazione, quale settore merceologico che ha subito il maggior numero di attacchi nel nostro Paese.

La sicurezza del dato, dell’uso che se ne fa, della sua produzione, della condivisione e conservazione e, non da ultimo, della sua protezione è, dunque, fondamentale per le aziende.

Emerge la necessità di implementare una robusta strategia aziendale di data governance non più solo su base volontaria ma per espressa previsione di legge che costituisce il fondamento imprescindibile per difendere le imprese dall'inarrestabile ascesa dei rischi cyber.

L’Unione Europea ha riconosciuto, quindi, la necessità di aumentare la capacità di resilienza e risposta a questi rischi sia a livello centrale che sulla base di disposizioni nazionali dei singoli Stati Membri, per favorire le imprese e le pubbliche amministrazioni che sono, come detto, le prime esposte alle minacce.

Il legislatore europeo ha introdotto un vero e proprio framework di normative a disciplina della sicurezza informatica dei soggetti operanti nel mercato unico, fornendo importanti indicazioni sulla strategia che l’Unione Europea ha inteso adottare per far fronte alla sempre maggiore crescente ondata di attacchi e incidenti di natura informatica.

Tale strategia comporta l’obbligo per l’impresa di introdurre, sia al proprio interno che presso i propri fornitori strategici, aggiornamenti per la gestione e la mitigazione degli incidenti informatici, in grado di minacciare la sicurezza del prodotto

Il contesto storico e il quadro normativo europeo segnano un importante passo verso la piena definizione della strategia per la cyber sicurezza dell’Unione attraverso la pubblicazione della Direttiva Europea UE 2022/2055 (cd. NIS 2).

La Direttiva NIS2, che dovrà essere recepita in Italia entro il 18 ottobre 2024, vuole chiarire e rafforzare gli obblighi per le imprese connessi all’implementazione di misure adeguate e proporzionate per la gestione di rischi informatici.

L’obiettivo del provvedimento europeo è di ridurre l’impatto di eventuali incidenti di sicurezza aumentando, al contempo, le difese contro potenziali attacchi informatici sia nei confronti delle imprese o delle organizzazioni/enti lungo la catena di fornitura che nei confronti della pubblica amministrazione.

Tale disposizione parte dal presupposto secondo il quale i sistemi informatici e di rete, usati per fornire servizi essenziali in settori chiave, occupano una posizione centrale nel percorso di trasformazione digitale e di interconnessione della società (ricordiamo che NIS è, per l’appunto, l’acronimo di Network and Information Security). 

La platea di soggetti destinatari della Direttiva è più ampia rispetto a quanto stabilito in precedenza (cd. Direttiva NIS) e si compone di soggetti cd. “essenziali” distinguendoli da quelli cd. “importanti”, indicati rispettivamente negli Allegati 1 e 2 della Direttiva, con specifici dettagli tra loro ma senza alcuna distinzione di applicazione tra soggetti pubblici o privati.

Tra gli operatori di “servizi essenziali” rientrano anche le pubbliche amministrazioni ma, in particolare, le imprese del settore energetico, di servizi ICT, dei trasporti e del settore sanitario, intendendo sia imprese che prestino servizi di assistenza sanitaria ma anche quelle che fabbricano prodotti farmaceutici o dispositivi medici considerati critici.

Tra le infrastrutture “importanti” sono soggette a tale nuova disciplina le imprese che si occupano di fabbricazione di macchine, di apparecchiature elettriche-elettroniche e di dispositivi medici, della gestione dei rifiuti, di sostanze chimiche e della produzione, trasformazione e distribuzione degli alimenti.

Da un punto di vista dimensionale, i destinatari sono medie e grandi imprese, che operano nei settori individuati. In taluni casi, vengono ricomprese anche le micro e piccole, operanti in comparti chiave per la società, quali i fornitori di servizi e reti di comunicazione elettronica.

Le imprese, sulla base di un approccio basato sul rischio, saranno chiamate a valutare e attuare le necessarie misure tecniche e organizzative.

Sarà necessario adottare una governance in tema di cybersicurezza, che può prevedere, ad esempio, misure per la gestione dei rischi, la formazione periodica su tematiche di cybersicurezza, la possibilità di offrire una formazione analoga ai fornitori e ai loro dipendenti lungo la catena di fornitura, fino alla gestione della continuità operativa e alla segnalazione degli incidenti nei confronti degli organi preposti alla raccolta delle segnalazioni.

La Direttiva, poi, stabilisce norme e obblighi anche in relazione alla condivisione delle informazioni sulla cybersicurezza, nonché in materia di vigilanza ed esecuzione.

Oltre a garantire la resilienza e il ripristino in casi di disastro, le imprese cd. “essenziali” e “importanti” hanno il dovere di notificare ai rispettivi CSIRT o all’autorità nazionale competente, qualsiasi incidente che abbia un impatto significativo sulla fornitura dei loro servizi.

Sarà necessario comunicare, senza indebito ritardo e comunque entro 24 ore, l’incidente significativo di cui l’impresa è venuta a conoscenza presentando un “preallarme” per un evento che possa essere il risultato di atti illegittimi o malevoli.

Laddove la Direttiva NIS2 si concentra sul miglioramento della posizione di sicurezza delle aziende stesse, il Cyber Resilience Act è una proposta di legge incentrata sulla sicurezza informatica dei prodotti hardware e software con elementi digitali, come i dispositivi Internet-of-Things (IoT).

Il provvedimento, di prossima pubblicazione, richiede alle aziende di dare priorità alla sicurezza dei prodotti che fabbricano o vendono, integrando la Direttiva NIS2, ma non necessariamente sovrapponendosi o sostituendosi alla medesima. Pertanto, tali imprese possono essere soggette a entrambe le normative. Oggetto di tutela sono i prodotti con elementi digitali il cui uso comporta una connessione logica o fisica diretta o indiretta a un dispositivo o ad una rete. Ogni prodotto software o hardware che sarà integrato in altri beni è soggetto a tali disposizioni.

Lo scopo finale del Cyber Resilience Act è garantire che i prodotti con elementi digitali immessi sul mercato dell’UE presentino meno vulnerabilità e i produttori siano responsabili della sicurezza informatica per tutto il ciclo di vita del prodotto.

Uno degli impatti principali del Cyber Resilience Act è che i produttori sono ora legalmente obbligati a documentare tutto ciò che riguarda il prodotto, inclusa una definizione e una spiegazione sulla distinta base di software e hardware. Devono documentare un elenco dettagliato di tutti gli standard armonizzati di sicurezza informatica dell’UE che il prodotto soddisfa ed eseguire una valutazione del rischio affinché il produttore e l’utente finale possano comprendere meglio le misure di sicurezza adottate per la tutela del prodotto. Inoltre, le imprese devono assicurarsi di fornire al mercato una costante consapevolezza delle violazioni della sicurezza per tutta la durata del prodotto.

Il fabbricante deve dare garanzia della sicurezza del prodotto con elementi digitali per l'intero ciclo di vita del bene, assicurare la due diligence dei propri fornitori quando i componenti del bene provengono da terzi, e disporre di politiche e procedure adeguate a trattare e correggere le vulnerabilità ovvero i punti deboli o difetti che possano essere sfruttati da una minaccia informatica.

Una volta che il Cyber Resilience Act verrà approvato e adottato dai paesi UE, gli operatori economici e gli Stati membri avranno tre anni per adeguarsi alle nuove esigenze. Inoltre, quando la nuova regolazione entrerà in vigore, i prodotti connessi a Internet dovranno riportare il marchio CE per assicurare all’utente la garanzia di conformità del prodotto ai nuovi standard.

È importante anche sottolineare la stretta relazione tra questo provvedimento di prossima pubblicazione e altre normative europee quali ad esempio la Direttiva UE n. 2022/2055 (NIS2) in tema di cibersicurezza, il Regolamento UE n. 679/2016 (GDPR) in tema di tutela della privacy, AI Act (Intelligenza artificiale) e il Regolamento UE n. 2023/1230 (cd. Regolamento Macchine); tutte disposizioni che fanno parte del medesimo framework normativo incentrato sulla tutela del dato quale asset aziendale di rilevante importanza.

Per ogni necessità è possibile contattare l’Area Ambiente, Sicurezza, Energia e Territorio di Confindustria Emilia.