L’obiettivo
dell’Unione è garantire un livello comune elevato di protezione contro gli
attacchi informatici. La normativa impone requisiti rigidi di governance,
gestione dei rischi e segnalazione degli incidenti.
Il Rapporto
Clusit 2024 ha sottolineato che gli investimenti in cybersicurezza effettuati
delle imprese italiane nel corso del 2023 sono stati pari a 2,149 miliardi di
euro ovvero pari a circa 0,12% del PIL ma evidenziando anche che “Paesi europei
confrontabili come la Francia e la Germania spendono quasi il doppio rispetto
all’Italia per non parlare di nazioni come gli USA che spendono lo 0,3% del
PIL.”
Questi dati
sono confermati dal fatto che il nostro Paese appare sempre più nel mirino dei
cyber criminali: lo scorso anno in Italia è andato a segno l'11% degli attacchi
gravi globali mappati dal Clusit (era il 7,6% nel 2022), per un totale di 310
attacchi, che comporta una crescita degli eventi del 65% rispetto al 2022. Con
uno sguardo agli ultimi cinque anni, emerge che oltre il 47% degli attacchi
totali censiti in Italia dal 2019 si è verificato nel 2023.
La
distribuzione delle vittime per categoria, in continuità con il passato, vede
nel 2023 il manifatturiero al secondo posto dopo la Pubblica Amministrazione,
quale settore merceologico che ha subito il maggior numero di attacchi nel
nostro Paese.
La sicurezza
del dato, dell’uso che se ne fa, della sua produzione, della condivisione e
conservazione e, non da ultimo, della sua protezione è, dunque, fondamentale
per le aziende.
Emerge la
necessità di implementare una robusta strategia aziendale di data governance
non più solo su base volontaria ma per espressa previsione di legge che
costituisce il fondamento imprescindibile per difendere le imprese
dall'inarrestabile ascesa dei rischi cyber.
L’Unione
Europea ha riconosciuto, quindi, la necessità di aumentare la capacità di
resilienza e risposta a questi rischi sia a livello centrale che sulla base di
disposizioni nazionali dei singoli Stati Membri, per favorire le imprese e le
pubbliche amministrazioni che sono, come detto, le prime esposte alle minacce.
Il
legislatore europeo ha introdotto un vero e proprio framework di normative a
disciplina della sicurezza informatica dei soggetti operanti nel mercato unico,
fornendo importanti indicazioni sulla strategia che l’Unione Europea ha inteso
adottare per far fronte alla sempre maggiore crescente ondata di attacchi e
incidenti di natura informatica.
Tale
strategia comporta l’obbligo per l’impresa di introdurre, sia al proprio
interno che presso i propri fornitori strategici, aggiornamenti per la gestione
e la mitigazione degli incidenti informatici, in grado di minacciare la
sicurezza del prodotto
Il contesto
storico e il quadro normativo europeo segnano un importante passo verso la
piena definizione della strategia per la cyber sicurezza dell’Unione attraverso
la pubblicazione della Direttiva Europea UE 2022/2055 (cd. NIS 2).
La Direttiva
NIS2, che dovrà essere recepita in Italia entro il 18 ottobre 2024, vuole
chiarire e rafforzare gli obblighi per le imprese connessi all’implementazione
di misure adeguate e proporzionate per la gestione di rischi informatici.
L’obiettivo
del provvedimento europeo è di ridurre l’impatto di eventuali incidenti di
sicurezza aumentando, al contempo, le difese contro potenziali attacchi
informatici sia nei confronti delle imprese o delle organizzazioni/enti lungo
la catena di fornitura che nei confronti della pubblica amministrazione.
Tale
disposizione parte dal presupposto secondo il quale i sistemi informatici e di
rete, usati per fornire servizi essenziali in settori chiave, occupano una
posizione centrale nel percorso di trasformazione digitale e di
interconnessione della società (ricordiamo che NIS è, per l’appunto, l’acronimo
di Network and Information Security).
La platea di
soggetti destinatari della Direttiva è più ampia rispetto a quanto stabilito in
precedenza (cd. Direttiva NIS) e si compone di soggetti cd. “essenziali”
distinguendoli da quelli cd. “importanti”, indicati rispettivamente negli
Allegati 1 e 2 della Direttiva, con specifici dettagli tra loro ma senza alcuna
distinzione di applicazione tra soggetti pubblici o privati.
Tra gli
operatori di “servizi essenziali” rientrano anche le pubbliche amministrazioni
ma, in particolare, le imprese del settore energetico, di servizi ICT, dei
trasporti e del settore sanitario, intendendo sia imprese che prestino servizi
di assistenza sanitaria ma anche quelle che fabbricano prodotti farmaceutici o
dispositivi medici considerati critici.
Tra le
infrastrutture “importanti” sono soggette a tale nuova disciplina le imprese
che si occupano di fabbricazione di macchine, di apparecchiature
elettriche-elettroniche e di dispositivi medici, della gestione dei rifiuti, di
sostanze chimiche e della produzione, trasformazione e distribuzione degli
alimenti.
Da un punto
di vista dimensionale, i destinatari sono medie e grandi imprese, che operano
nei settori individuati. In taluni casi, vengono ricomprese anche le micro e
piccole, operanti in comparti chiave per la società, quali i fornitori di
servizi e reti di comunicazione elettronica.
Le imprese,
sulla base di un approccio basato sul rischio, saranno chiamate a valutare e
attuare le necessarie misure tecniche e organizzative.
Sarà
necessario adottare una governance in tema di cybersicurezza, che può
prevedere, ad esempio, misure per la gestione dei rischi, la formazione
periodica su tematiche di cybersicurezza, la possibilità di offrire una
formazione analoga ai fornitori e ai loro dipendenti lungo la catena di fornitura, fino alla gestione della
continuità operativa e alla segnalazione degli incidenti nei confronti degli
organi preposti alla raccolta delle segnalazioni.
La
Direttiva, poi, stabilisce norme e obblighi anche in relazione alla
condivisione delle informazioni sulla cybersicurezza, nonché in materia di
vigilanza ed esecuzione.
Oltre a
garantire la resilienza e il ripristino in casi di disastro, le imprese cd.
“essenziali” e “importanti” hanno il dovere di notificare ai rispettivi CSIRT o
all’autorità nazionale competente, qualsiasi incidente che abbia un impatto
significativo sulla fornitura dei loro servizi.
Sarà
necessario comunicare, senza indebito ritardo e comunque entro 24 ore,
l’incidente significativo di cui l’impresa è venuta a conoscenza presentando un
“preallarme” per un evento che possa
essere il risultato di atti illegittimi o malevoli.
Laddove la
Direttiva NIS2 si concentra sul miglioramento della posizione di sicurezza
delle aziende stesse, il Cyber Resilience Act è una proposta di legge
incentrata sulla sicurezza informatica dei prodotti hardware e software con
elementi digitali, come i dispositivi Internet-of-Things (IoT).
Il
provvedimento, di prossima pubblicazione, richiede alle aziende di dare
priorità alla sicurezza dei prodotti che fabbricano o vendono, integrando la
Direttiva NIS2, ma non necessariamente sovrapponendosi o sostituendosi alla
medesima. Pertanto, tali imprese possono essere soggette a entrambe le
normative.
Oggetto di
tutela sono i prodotti con elementi digitali il cui uso comporta una
connessione logica o fisica diretta o indiretta a un dispositivo o ad una rete.
Ogni prodotto software o hardware che sarà integrato in altri beni è soggetto a
tali disposizioni.
Lo scopo
finale del Cyber Resilience Act è garantire che i prodotti con elementi
digitali immessi sul mercato dell’UE presentino meno vulnerabilità e i
produttori siano responsabili della sicurezza informatica per tutto il ciclo di
vita del prodotto.
Uno degli
impatti principali del Cyber Resilience Act è che i produttori sono ora
legalmente obbligati a documentare tutto ciò che riguarda il prodotto, inclusa
una definizione e una spiegazione sulla distinta base di software e hardware.
Devono documentare un elenco dettagliato di tutti gli standard armonizzati di
sicurezza informatica dell’UE che il prodotto soddisfa ed eseguire una valutazione
del rischio affinché il produttore e l’utente finale possano comprendere meglio
le misure di sicurezza adottate per la tutela del prodotto. Inoltre, le imprese devono assicurarsi di fornire al mercato una costante consapevolezza delle violazioni
della sicurezza per tutta la durata del prodotto.
Il
fabbricante deve dare garanzia della sicurezza del prodotto con elementi
digitali per l'intero ciclo di vita del bene, assicurare la due diligence dei
propri fornitori quando i componenti del bene provengono da terzi, e disporre di
politiche e procedure adeguate a trattare e correggere le vulnerabilità ovvero
i punti deboli o difetti che possano essere sfruttati da una minaccia
informatica.
Una volta
che il Cyber Resilience Act verrà approvato e adottato dai paesi UE, gli
operatori economici e gli Stati membri avranno tre anni per adeguarsi alle
nuove esigenze. Inoltre, quando la nuova regolazione entrerà in vigore, i
prodotti connessi a Internet dovranno riportare il marchio CE per assicurare
all’utente la garanzia di conformità del prodotto ai nuovi standard.
È importante
anche sottolineare la stretta relazione tra questo provvedimento di prossima
pubblicazione e altre normative europee quali ad esempio la Direttiva UE n.
2022/2055 (NIS2) in tema di cibersicurezza, il Regolamento UE n. 679/2016
(GDPR) in tema di tutela della privacy, AI Act (Intelligenza artificiale) e il
Regolamento UE n. 2023/1230 (cd. Regolamento Macchine); tutte disposizioni che
fanno parte del medesimo framework normativo incentrato sulla tutela del dato
quale asset aziendale di rilevante importanza.
Per ogni
necessità è possibile contattare l’Area Ambiente, Sicurezza, Energia e
Territorio di Confindustria Emilia.