Viviamo in un’era in cui le tecnologie digitali permeano la nostra quotidianità, sia negli ambiti lavorativi che in quelli strettamente privati.
Se da un lato la trasformazione digitale con la sua prorompente evoluzione offre importanti opportunità di sviluppo economico e facilita l’accesso ad informazioni di utilità personale in qualunque luogo e momento, d’altra parte espone i dati – in quanto bene prezioso – a minacce informatiche.
Il numero, la portata, il livello di sofisticazione, la frequenza di tali minacce crescono continuamente anno su anno a livello mondiale, con conseguenze tali da impedire l’operatività, provocare perdite finanziarie, ledere la reputazione e minare la fiducia di utenti e clienti.
Un’ulteriore riflessione: oltre ai danni crescenti causati dal “cybercrime” di sempre, siamo entrati in una fase di “guerra cibernetica” diffusa, strettamente connessa ai conflitti che infuocano in particolare Europa e Medio Oriente.
In questo scenario, il nostro Paese risulta sempre più colpito da attacchi informatici, come illustrato nel rapporto 2024 del Clusit; tale rapporto riporta un’analisi degli attacchi noti, andati a buon fine e di particolare gravità, che hanno avuto impatti significativi in termini economici, tecnologici, legali, reputazionali sulle Organizzazioni vittime degli stessi. E poiché i dati raccolti si riferiscono solo agli incidenti gravi e si limitano alle fonti pubbliche, possiamo affermare che la fotografia è pur sempre parziale rispetto al fenomeno nella sua interezza.
Clusit è l’Associazione Italiana per la Sicurezza Informatica. Nata nel 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano, rappresenta oggi oltre 600 organizzazioni, appartenenti a tutti i settori del Sistema-Paese. Clusit collabora con la Presidenza del Consiglio, con diversi Ministeri, Authority, Istituzioni e organismi di controllo, tra cui Polizia Postale e delle Comunicazioni, Arma dei Carabinieri e Guardia di Finanza, Agenzia per l’Italia Digitale, Autorità Garante per la protezione dei dati personali.
Ecco alcuni dati Clusit che inquadrano il fenomeno in Italia nel 2023:
- 310 attacchi
- + 65% rispetto al 2022, mentre la crescita “mondo” è del 12%
- Settori merceologici più colpiti:
- 19% Gov/PA, 13% Produzione, 12% Trasporti, 9% Finanziario, 9% Reatil
- Le principali tecniche di attacco :
- DDoS: 36% (utilizzo di più dispositivi per l’attacco coordinati da un centro di comando e controllo, bloccano l’operatività generando volumi di traffico e richieste ai server superiori alla capacità di banda delle reti e di elaborazione dei server).
- Malware: 33% (virus informatici di varia natura).
- Phishing / Social Engineering: 9% (intercettazione di informazioni trasmesse a seguito di false richieste tramite e-mail. sms, whatsapp o anche direttamente da persone malevoli).
Numeri che impongono una riflessione sulla capacità delle imprese italiane di proteggersi adeguatamente, in termini di investimenti in tecnologie per la prevenzione e protezione, di sviluppo delle competenze, di scelta di partner affidabili nella catena di fornitura di beni e servizi ICT.
Che fare? Il dettato normativo viene in aiuto; si tratta però di un insieme complesso di regolamenti e direttive europee, recepito dalle singole autorità e calato nel tessuto produttivo nazionale.
Si è quindi deciso di dedicare un articolo della serie del blog “Le chiavi della cyber” alla descrizione del quadro normativo della cyber security in cui tutte le aziende italiane si trovano a dover vivere.
La direttiva europea NIS 2
La direttiva europea 2022/2555 – nota come NIS 2 – innestandosi nel quadro normativo vigente sulla protezione e sicurezza dei dati si prefigge un obiettivo chiaro: creare un livello comune elevato di protezione dei dati in tutta l’Unione Europea, migliorando la resilienza e la capacità di risposta agli incidenti delle aziende e delle istituzioni pubbliche; in una parola: cyber security.
In recepimento a questa direttiva, è stato emanato in Italia in data 4 settembre 2024 il Decreto Legislativo nr. 138; pubblicato il 1° ottobre 2024 in Gazzetta Ufficiale, entrerà in vigore il 16 ottobre 2024.
La NIS2 e il GDPR
Nell’ambito del quadro normativo, focalizziamo in particolare l’interconnessione tra:
- NIS 2 – D.LGS. 138/2014
- il Regolamento Europeo 2016/679 per la protezione dei dati – GDPR, recepito dal D.LGS. 101/2018 che ha novellato il D.LGS. 196/2003
Gli altri Regolamenti del mondo Cyber in relazione con la NIS2
Citiamo anche la connessione tra NIS 2 – D.LGS. 138/2024 con altre normative sulla protezione e sicurezza dei dati, in particolare con:
- Direttiva CER
-
-
- Si occupa della resilienza dei sistemi contro minacce fisiche, naturali o antropiche, comprese quelle di natura terroristica.
-
- Regolamento DORA
-
-
- Dispone la resilienza operativa digitale per i soggetti che operano nel settore finanziario
-
- Regolamento Cyber Security Act
-
-
- Stabilisce un sistema unico per introdurre sistemi di certificazione della sicurezza informatica a livello europeo che coinvolga i dispositivi connessi ad Internet, i prodotti e i servizi digitali e i processi IT
-
- Regolamento Data Governance Act
-
- Rafforza i meccanismi di governance per la condivisione di dati nello spazio comune europeo
In relazione al quadro normativo illustrato, è evidente come siano richieste competenze specifiche – tecniche e giuridiche -, esperienze di settore, capacità nel coniugare gli adempimenti obbligatori con aspetti organizzativi, fattibilità tecnica e fattibilità economica. E’ fondamentale per imprese e pubblica amministrazione disporre di partner affidabili in tutta la catena di fornitura di beni e servizi ICT.
Alessandro Massolo – DPO e NIS 2 e GDPR Specialist di Whiteready
