Effettua la tua ricerca
More results...
Uno studio di Enisa spiega i settori di mercato che stanno avendo le maggiori difficoltà e criticità nel recepimento della NIS2
Che la Direttiva NIS2 fosse allo stesso tempo un’opportunità per migliorare la propria “security posture” e la propria resilienza, ma anche un grattacapo non da poco per diverse aziende, in fondo lo si è sempre saputo. La Direttiva viene spesso vissuta come un obbligo più che uno stimolo, e adeguarvi i propri processi non è mai banale.
Alcuni settori sono ovviamente più pronti di altri a uniformarsi ai maggiori requisiti della NIS2 rispetto alla precedente NIS. E ora uno studio dell’agenzia UE per la cybersecurity – Enisa – ha cercato di valutare oggettivamente queste differenze, badandosi su dati che sono stati raccolti dalle Agenzie nazionali della cybersecurity, come anche usando le informazioni comunicate direttamente dalle imprese che stanno recependo la normativa.
La risultanza che Enisa mette in primo piano nel suo studio è che tre settori si distinguono dagli altri in termini di maturità complessiva nella gestione della NIS2, pur essendo settori altamente critici: Elettricità, Telecomunicazioni e Banche. Questo perché sono, in sintesi, tre ambiti già ben “allenati” alla resilienza: hanno da tempo requisiti importanti di compliance, non mancano di fondi, sono sempre al centro dell’attenzione, hanno tradizionalmente solidi partenariati pubblico-privato. La loro resilienza, in sostanza, è fondamentale per la stabilità sociale ed economica.
Anche il settore definito delle Digital Infrastructure (dai servizi Internet ai data center passando per il cloud) è sia critico sia maturo lato compliance. Ma secondo Enisa deve ancora affrontare diverse sfide a causa della intrinseca eterogeneità dei servizi e delle infrastrutture, come anche della natura transfrontaliera delle loro operazioni. Tra l’altro, la NIS2 vede nel suo ambito di applicazione molte entità di questo ambito che precedentemente non erano regolamentate.
Chi non è messo bene
Su un metaforico banco degli “imputati” Enisa colloca invece quattro macro-settori (ICT Service Management, Spazio, PA, Sanità). Tutti questi settori, spiega l’Agenzia, hanno dei “maturity gap” che necessitano di un’attenzione particolare per essere colmati in modo da affrontare efficacemente le maggiori sfide poste dalla NIS2.
Il settore dei servizi ICT dovrebbe teoricamente essere pronto ad affrontare le questioni di resilienza ma è frenato sia della natura transfrontaliera delle sue operazioni, sia dalla estrema eterogeneità delle entità che ne fanno parte. Rafforzare la sua resilienza è fondamentale, ovviamente, ma richiede una stretta collaborazione tra le Authority coinvolte, una riduzione degli oneri di compliance e una armonizzazione delle norme di vigilanza europee.
Il settore Spazio non manca di contenuto tecnologico, il suo problema sta nelle limitate conoscenze di cybersecurity delle realtà che vi operano e nella forte dipendenza da componenti commerciali “off-the-shelf” per la sicurezza digitale. Per migliorare la sua resilienza, spiega Enisa, è necessaria una maggiore consapevolezza di cybersecurity, linee guida chiare per i test di pre-integrazione dei componenti e una maggiore collaborazione con altri settori. Ad esempio quello delle Telecomunicazioni, sulla scia della attuale convergenza tra 5G e comunicazioni satellitari.
Per la Pubblica Amministrazione vale un ragionamento per certi aspetti simile. Anche qui siamo agli inizi nello sviluppo di una “maturità” in materia di cybersecurity, con in più il problema che le entità della PA sono bersagli privilegiati tanto per l’hacktivism quanto per le operazioni di spionaggio degli attori state-sponsored. La PA deve quindi rafforzare in generale la propria cybersecurity, magari facendo leva sulla condivisione di servizi tra gli enti del settore, laddove sia possibile.
Dal canto suo, la Sanità paga la sua estrema eterogeneità e la storica dipendenza da supply chain complesse, sistemi legacy e dispositivi medici scarsamente protetti. Sarebbe opportuno quindi cambiare le logiche di approvvigionamento, per aiutare le organizzazioni sanitarie ad acquistare sempre servizi e prodotti sicuri. E servono anche linee guida specifiche di settore che aiutino a superare i problemi comuni, ad esempio le lacune nella sicurezza informatica di base e la necessità di campagne di sensibilizzazione del personale.
Come intervenire
Nel complesso, spiega Enisa, tutti i settori interessati dalla NIS2 si trovano ad affrontare sfide più o meno complesse nel costruire la propria maturità cyber e nel soddisfare i requisiti della normativa. Ora quindi serve una maggiore collaborazione all’interno dei vari settori e tra di essi, oltre a linee guida specifiche per ogni settore su come realizzare una gestione migliore del rischio informatico.
Anche le Authority nazionali ed europee devono farsi un esame di coscienza: serve una maggiore armonizzazione a livello UE nella attuazione della NIS2. E serve un maggiore coordinamento anche nella gestione degli incidenti informatici. In questo senso, le esercitazioni transfrontaliere di cybersecurity potrebbero migliorare la risposta alle crisi.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
ImpresaCity.it iscriviti alla nostra
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
