Cybersecurity, NIS2 dovrà essere recepita dai singoli stati da ottobre 2024
La direttiva NIS2 (2555/2022) finalizzata a definire opportune misure per un livello comune elevato di cibersicurezza nell’Unione europea, dovrà essere recepita dai singoli stati membri e applicata a decorrere dal prossimo 18 ottobre 2024. La NIS2 sostituisce la precedente direttiva 1148/2016 (NIS). Lo schema di decreto legge di recepimento è stato sottoposto alle commissioni parlamentari per la discussione proprio in questi giorni.
La direttiva NIS2, a differenza della precedente NIS, identifica in maniera oggettiva le entità economiche essenziali o importanti sulla base della loro appartenenza ai settori di business coinvolti e delle loro dimensioni operative (oltre 50 dipendenti o 10 mln di euro di fatturato) e si colloca in un più ampio disegno regolatorio sulla Resilienza Digitale della società civile e dell’economia europee, costituito dal Regolamento Dora (Digital operational resilience act) per il settore finanziario, che sarà applicato a decorrere dal 17 gennaio 2025, e dalla direttiva Cer (Critical entities resilience) per altri settori economici critici, che dovrà essere anch’essa recepita dai singoli Stati e applicata a decorrere dal 18 ottobre 2024.
“Aspetto di rilievo della direttiva è la responsabilizzazione dei vertici aziendali sull’adozione e sull’adeguatezza delle misure tecniche, operative e organizzative adeguate e proporzionate per la gestione dei rischi di cybersecurity”- riferisce Francesco Pezzuto, referente Aused per l’area Nord-Est nonché 'Chief information & digital transformation officer' di Friul Intagli Industries.
In tale ottica, la direttiva prevede che siano definite e approvate precise policy di analisi dei rischi e di sicurezza IT e l’applicazione di misure in ambiti predefiniti, estesi anche alla catena di forniture. Prevede inoltre da parte delle aziende una raccolta strutturata degli incidenti di sicurezza e una comunicazione tempestiva (entro 24 ore una prima segnalazione, seguita entro 72 ore da relazioni di approfondimento) di quelli di impatto significativo ai punti di contatto che saranno istituiti. Particolarmente impattante è la richiesta di un presidio efficace da parte delle aziende nei confronti della sicurezza informatica dei propri fornitori, che dovranno considerare anche le specifiche vulnerabilità di ciascuno di essi.
I soggetti essenziali e importanti saranno sottoposti a monitoraggio da parte delle autorità che saranno appositamente istituite dallo Stato nazionale, attraverso visite ispettive, audit da parte di società esterne specializzate, scansioni di sicurezza, richieste di informazioni e dati. Le autorità potranno inoltre imporre ai soggetti essenziali e importanti misure specifiche di sicurezza, obblighi di comunicazione dei rischi a soggetti collegati all’azienda, divulgazione di eventuali violazioni alla direttiva.
Potranno anche imporre sanzioni pecuniarie rilevanti (es. fino a 10mln€ o al 2% del fatturato per i soggetti essenziali) alle aziende inadempienti. L’adeguamento alla normativa NIS2 richiederà interventi sulla governance delle aziende viste le possibili sanzioni in capo ai vertici aziendali. “Le aziende - prosegue Pezzutto - dovranno riporre particolare attenzione all’esecuzione di un diagnostico preliminare finalizzato a definire la corretta classificazione dell’azienda (essenziale o importante) e a stabilire le proporzionate misure di adeguamento, che dovranno essere articolate secondo un piano di intervento. Non meno importante sarà il fatto di documentare e ufficializzare gli interventi adottati, in modo da supportare la difesa in caso di ispezioni o eventuali sanzioni".
Il tema della sicurezza informatica è un argomento oggettivamente attuale e critico, sul quale le aziende stanno da tempo investendo. L’adeguamento alla nuova normativa va comunque affrontato con equilibrio e una ragionevole gradualità, visti gli impatti trasversali sull’azienda (es.: governance, comunicazione, processi operativi), i potenziali ulteriori investimenti e l’incessante evoluzione delle tecnologie.
Sul fronte della misurazione e valutazione del rischio informatico, che dovranno essere il più possibile oggettive e sistematiche, ci sono ancora dei passi da compiere da parte delle aziende per arrivare ad una adeguata maturità. In ogni caso sarà importante che le aziende effettuino una stima puntuale della propria compliance alla normativa nazionale (in uscita a breve), anche con il supporto di precise check-list di autovalutazione.
Un tema abbastanza sentito dalle aziende è quello del monitoraggio della sicurezza informatica sulle catene di fornitura. In questo caso vale la raccomandazione di adottare un approccio di vera partnership con i fornitori, specialmente quelli di minori dimensioni, che quindi potrebbero avere maggiori difficoltà ad adeguarsi alla normativa. Nell’ambito della continuità operativa, si segnala come un’importante fonte di rischio di cybersecurity sia associata alle possibili vulnerabilità dei sistemi che sovrintendono alla produzione (Operational Technology - OT), storicamente meno presidiati in termini di sicurezza e meno assoggettati ad un disegno architetturale preventivo.
Economia
Sciopero porti Usa, a rischio 6,4 miliardi export cibo...
A lanciare l’allarme è la Coldiretti
Lo sciopero ad oltranza dei lavoratori portuali Usa colpisce anche le esportazioni marittime di cibo Made in Italy negli Stati Uniti che nel 2023 sono state pari a 6,4 miliardi di euro in valore. A lanciare l’allarme è la Coldiretti, sulla base dei dati Istat sul commercio estero. in riferimento all’agitazione, proclamata dall'International longshoremen's association, che coinvolgerà circa 45 mila addetti in 36 porti americani, situati sulla costa orientale e nella zona del Golfo del Messico. Questo potrebbe influire sulla spedizione di beni deperibili come i prodotti alimentari, causando ritardi significativi che potrebbero comprometterne la qualità o aumentare i costi di trasporto.
Economia
G7: Confindustria e Deloitte, puntare su diversità e...
Puntare su diversità e inclusione genera maggiori profitti. Questo è uno degli elementi emersi durante la B7 Flash, l’approfondimento di Confindustria e Deloitte elaborato in occasione della “G7 – Industry Stakeholders Conference: Bridging Gaps and Building Futures”, organizzata a margine della Ministeriale G7 sulle Pari Opportunità a Matera e che durerà fino al 6 ottobre.
Economia
G7, MARCEGAGLIA (CHAIR B7 ITALY): “PER PIENA INCLUSIONE...
“C’è ancora molta strada da fare per arrivare a una piena inclusione delle donne, abbiamo visto che tante cose sono migliorate ma se guardiamo, per esempio, l’imprenditoria femminile, nei grandi settori del futuro la presenza di donne è ancora molto bassa”. Ad affermarlo a margine della Ministeriale G7 sulle Pari Opportunità in corso a Matera è stata Emma Marcegaglia, Chair di B7 Italy, uno degli Engagement Group espressione del settore privato e delle confederazioni industriali che afferiscono ai paesi coinvolti. Durante l’appuntamento è emerso come puntare su diversità e inclusione sia la strada migliore per generare profitti.