NIS2-RKE: Regole rigorose di sicurezza informatica per le imprese

Ogni anno nel dark web vengono scambiati cinquemila miliardi di euro, soprattutto attraverso le estorsioni. Perché: sempre più aziende sono colpite da furti di dati, spionaggio e sabotaggio e sono costrette a pagare milioni di dollari dopo un attacco digitale. Il danno può essere enorme, dall’interruzione dell’attività alla perdita di dati. Dall’ottobre 2024 verranno applicati standard di sicurezza informatica più rigorosi per proteggere le infrastrutture digitali in tutti gli Stati membri dell’UE. Le nuove normative, basate sulla direttiva UE NIS2 (Reti e sistemi informativi), impongono alle aziende dei settori critici di adottare misure globali contro gli attacchi informatici. Al fine di fornire il miglior supporto possibile ad aziende, associazioni e istituzioni pubbliche, il Ministero Federale dell’Interno, in collaborazione con la Camera di Commercio, la Quarta Camera, lo Stato della Carinzia e il Silicon Alpine Group, ha organizzato un evento mediatico che incontrato con grande interesse.

Adatto per 2 shekel

Caroline Schmidt, direttrice del programma per il pacchetto sulla sicurezza informatica dell’UE presso il Ministero federale degli interni (BMI), ha parlato del motivo per cui le aziende dovrebbero agire ora e quali misure devono adottare per soddisfare i requisiti NIS2. In due workshop paralleli un team di esperti di BMI ha fornito informazioni sui temi NIS2 e RKE. Schmidt: “La direttiva NIS2 amplia i requisiti di sicurezza informatica, mentre la direttiva RKE rafforza in particolare la resilienza delle infrastrutture critiche. La legge in materia è attualmente in fase di valutazione e dovrebbe essere implementata nell’ottobre di quest’anno. Il miglior sistema di sicurezza ha visto la Carinzia nel maggio 2022, quando un attacco informatico ha paralizzato la rete statale per settimane. “È un’opportunità per migliorare la nostra sicurezza informatica e la nostra resilienza”, afferma Christian Enzko, responsabile della tecnologia informatica del paese.

Preparati subito alla sicurezza informatica

Per il presidente della WK Jürgen Mandl le nuove norme rappresentano un passo importante per proteggere meglio l’infrastruttura digitale del Paese dagli attacchi informatici e ridurre i tempi di reazione. “Le aziende che si adatteranno ai nuovi requisiti adesso saranno ben preparate per il futuro della sicurezza informatica e godranno di un vantaggio competitivo, quindi dovresti sapere ora che abbiamo un grande gruppo di esperti interni che supporteranno le nostre aziende associate nell’implementazione le nuove regole”.

Per Claudia Mishinsky, direttrice generale dell’Unione industriale della Carinzia, l’attuale progetto di attuazione delle linee guida NIS2 rappresenta un passo importante: “Le nostre imprese industriali hanno visto negli ultimi anni un vero impulso alla digitalizzazione, garantendo un elevato livello di sicurezza delle reti e delle informazioni è nell’interesse delle imprese ed è un compito centrale.” Lo Stato, l’economia e la società sono pronti ad assumersi la responsabilità e a promuovere, in stretto coordinamento con le autorità, le misure necessarie per una maggiore sicurezza informatica.

Chi è affetto da NIS2

Le aziende di grandi e medie dimensioni nei settori dell’energia, dei trasporti, delle banche, delle infrastrutture del mercato finanziario, della sanità, dell’acqua potabile, delle acque reflue e delle infrastrutture digitali – per citarne alcuni, sono interessate da NIS 2. Non rientrano nella norma NIS 2 le piccole imprese con un fatturato annuo o un bilancio annuo non superiore a 10 milioni di euro. Ma attenzione: in casi eccezionali anche le piccole imprese possono rientrare nella categoria NIS 2. Qualsiasi persona che sia un prestatore di servizi o un fornitore di un’azienda interessata da NIS2 è indirettamente interessata. “Il cliente comunicherà con il fornitore e stipulerà contrattualmente che il fornitore soddisfi determinati requisiti di sicurezza a seconda dei rischi. Inoltre, il cliente può richiedere ulteriori misure e prove”, spiega Mark Gfrerer, portavoce del gruppo IT Professionals. Il gruppo specialistico UBIT raccomanda di iniziare quanto prima a recepire la normativa in azienda, poiché le procedure richieste richiedono tempi adeguati. Gvrer: “Abbiamo un team di esperti che supporta i membri con tutte le domande. Non dobbiamo inoltre dimenticare che NIS2 rappresenta una preziosa opportunità per prepararsi a rischi informatici molto reali, per mettere in discussione in modo critico le attuali misure di sicurezza e migliorare le operazioni.

Cosa dovrebbe essere preso in considerazione

Oltre al rischio di multe, NIS 2 comporta anche il rischio di responsabilità. Gvrer: “Gli amministratori delegati e i membri del consiglio di amministrazione sono personalmente responsabili delle violazioni. Nelle società per azioni la responsabilità spetta all’intero consiglio di amministrazione. Le aziende devono integrare chiaramente la sicurezza informatica nella gestione e stabilire un sistema di gestione della sicurezza delle informazioni (ISMS) con specifiche per l’IT e il personale, basato sulla norma ISO 27001. Sono obbligatori anche la formazione del personale e piani di emergenza IT.

C’è una cosa di cui tutti dovrebbero essere consapevoli. Chi promuove la digitalizzazione deve tenere presente anche la sicurezza informatica. “La Commissione europea sta seguendo questo principio con il suo nuovo pacchetto sulla sicurezza informatica. L’improvvisa chiusura di strutture vitali a causa di attacchi fisici o digitali rappresenta uno scenario grave, quindi è necessario adottare misure ora per proteggere i servizi essenziali e importanti e rafforzare la cooperazione all’interno del paese. L’UE si prepara alle potenziali minacce: “Il sostegno e la rapida attuazione nazionale del pacchetto sulla sicurezza informatica sono di grande importanza”.

Informazioni dettagliate su NIS2-RKE sono disponibili all’indirizzo.