Nell’era digitale attuale, in cui le minacce informatiche si evolvono con una rapidità sorprendente, la “cybersecurity” è diventata un imperativo per ogni organizzazione. La direttiva NIS2 rappresenta un significativo passo avanti nella legislazione europea, con l’obiettivo di rafforzare il livello di sicurezza informatica all’interno dell’Unione Europea, grazie anche all’effetto combinato a quello di altre direttive, come il regolamento DORA (Digital Operational Resilience Act).
In considerazione della recente entrata in vigore, in data 17 ottobre 2024, della Direttiva, più comunemente nota come “Direttiva sulla sicurezza delle reti e dei sistemi informativi nell’Unione (NIS)” o “Direttiva NIS 2”, Ofelia Consulting S.r.l. ha ritenuto opportuno fornire alcune indicazioni in merito alla sua applicabilità.
Con la recente entrata in vigore della sopra citata Direttiva e con il prossimo ingresso, a decorrere da gennaio 2025, del Regolamento (UE) 2022/2554 per la resilienza operativa digitale del settore finanziario, noto come “DORA”, nei prossimi mesi le organizzazioni che operano o hanno sede nell’Unione Europea dovranno dedicarsi a incrementare e migliorare la propria resilienza in materia di cyber security: il desiderio dell’UE, di potenziare collettivamente la sicurezza informatica delle aziende che svolgono attività cruciali per la fornitura di servizi ai propri cittadini, ha dato vita a una legislazione a livello europeo che si estenderà agli Stati membri e, quindi, alle organizzazioni che operano al loro interno.
La Direttiva NIS 2 è molto chiara: multe salate, possibile sospensione del servizio e monitoraggio della conformità vengono utilizzati come leve per incoraggiare le organizzazioni responsabili di servizi critici a prestare attenzione alle minacce di sicurezza informatica e alla risposta a esse. È stato fissato un parametro di riferimento in termini di gestione del rischio e di misure di mitigazione, tra cui la risposta agli incidenti, la formazione del personale, la responsabilità dei dirigenti e molte altre. A fronte di ciò, si prevede che le organizzazioni potranno godere di un migliore supporto attraverso sforzi coordinati a livello europeo.
L’obiettivo è di andare oltre la semplice difesa contro attacchi cibernetici di natura tecnica, includendo la prevenzione di rischi derivanti da cause fisiche, errori umani, sia intenzionali che accidentali, processi interni inefficienti e influenze esterne. La NIS 2 non solo eleva gli standard di cybersicurezza ma promuove anche una cultura della sicurezza informatica che è fondamentale per proteggere le infrastrutture critiche e garantire la continuità dei servizi essenziali nell’UE, sottolineando l’importanza di un impegno collettivo nella lotta contro le minacce cyber.
In primo luogo, le imprese devono verificare se il loro settore, sottosettore e le dimensioni rientrano nell’ambito di applicazione della Direttiva NIS 2 e, di conseguenza, registrarsi.
La Direttiva ha, pertanto, ampliato l’ambito di applicazione rispetto alla precedente Direttiva NIS, includendo una vasta gamma di settori e organizzazioni, sia pubbliche che private, con l’obiettivo di rafforzare la sicurezza informatica all’interno dell’Unione Europea.
A chi si applica?
- settori ad alta criticità: questi settori sono considerati vitali per il funzionamento socioeconomico dell’UE e, di conseguenza, le organizzazioni che operano in questi settori sono soggette a requisiti rigorosi in termini di sicurezza informatica;
- altri settori critici: in aggiunta, la NIS 2 identifica “altri settori critici”, di cui fa parte un ulteriore gruppo di organizzazioni tenute a rispettare i requisiti di sicurezza imposti dalla direttiva.
A seguito di un approfondimento normativo effettuato al fine di individuare il perimetro di applicabilità della Direttiva, Ofelia Consulting ritiene che il D.lgs. n. 138/2024, che recepisce in Italia la Direttiva, non si applichi agli intermediari del credito, in particolare ai Mediatori Creditizi e agli Agenti in Attività Finanziaria.
A tale conclusione si è giunti sulla base della circostanza che, con riferimento al “settore bancario”, riportato tra i settori interessati di cui all’Allegato I del D.lgs. n. 138/2024, la Direttiva NIS 2 si applica esclusivamente agli “Enti creditizi” (definiti dal Regolamento UE 575/2013, art. 4, punto 1) ovvero, le “imprese che raccolgono depositi o altri fondi rimborsabili dal pubblico e concedono crediti per conto proprio”.
Ciò non toglie che adottare e mantenere pratiche di gestione del rischio e governance della sicurezza informatica contribuisca positivamente allo sviluppo di una cultura interna orientata alla cybersecurity; la diffusione di una cultura aziendale della cybersecurity può aumentare la consapevolezza e la preparazione di dipendenti e collaboratori, rendendo potenzialmente l’azienda più robusta di fronte alle minacce emergenti.
Il nostro suggerimento è, pertanto, quello di innestare una cultura dei dati evoluta e permeata in tutto il tessuto aziendale in quanto, tra l’altro, accelera l’innovazione del business e valorizza il patrimonio informativo già presente in società.
I dati, infatti, rappresentano la “moneta del ventunesimo secolo”; le organizzazioni di successo non sono solo capaci di raccogliere grandi quantità di dati, ma sono anche in grado di analizzarli efficacemente per ottenere insights significativi; eppure, ancora molte realtà sottovalutano l’impatto della cultura dei dati, che, infatti, implica il riconoscimento del valore intrinseco delle informazioni come risorsa strategica.
Con la crescita esponenziale delle tecnologie digitali, la quantità di informazioni generate ogni giorno è impressionante: ecco perché le aziende e le organizzazioni devono dotarsi di una data strategy stratificata e consolidata. È una sfida che riguarda tanto le piccole e medie aziende quanto le grandi società.
I dati sono puntini di uno schema più grande; per ogni realtà aziendale avere accesso rapido e fluente a tale schema significa poter sfruttare previsioni finanziarie, intercettare delle anomalie nascoste e garantire nuove opportunità che ancora sono inesplorate.
Buon lavoro.
Ofelia Consulting S.r.l.