La direttiva europea Network and Information Security (NIS) è destinata ad avere un enorme impatto sul modo in cui le aziende dovranno gestire i dati personali. L’obbligo di segnalare gravi violazioni dei dati alle autorità di regolamentazione nazionali significa che le aziende devono prepararsi a prevenire e affrontare le violazioni della sicurezza. Le organizzazioni che non riusciranno a farlo potrebbero sostenere pene severe. Questo significa che per alcune aziende sarà necessario iniziare ad investire per conformarsi alla nuova normativa.
La necessità di una direttiva sulla cybersecurity
Fino ad oggi gli Stati membri dell’Unione Europea sono stati liberi di affrontare la questione della sicurezza informatica e della protezione dei dati come meglio ritenevano. Tuttavia, la vastità di dati condivisi attraverso i confini interni dell’UE implica che l’impatto del crimine informatico e di altre forme di violazioni dei dati è aumentato considerevolmente. Rispetto al passato, oggi i dati sono anche molto più suscettibili a viaggiare attraverso le frontiere dell’UE, il che significa che possono essere soggetti a molteplici norme e strategie.
Secondo la Commissione Europea, l’organo che ha proposto la strategia che ha portato alla direttiva nel 2013, vi è un urgente bisogno di rafforzare le difese informatiche in tutta Europa. Come affermato da Andrus Ansip, il Commissario Europeo per il mercato unico digitale: “Internet non conosce confini e il verificarsi di un problema in un Paese può avere un effetto a catena nel resto d’Europa. Questo è il motivo per cui abbiamo bisogno di soluzioni di sicurezza informatica a livello di UE. Questo accordo è un passo importante in questa direzione”. La Commissione cita anche il World Economic Forum, secondo il quale esiste una probabilità del 10% che nel prossimo decennio si verifichi un grave guasto alle infrastrutture critiche di informazione, il che potrebbe causare danni fino a 250 miliardi di Dollari. Anche il numero di malware è in aumento, mentre le perdite subite a causa del crimine informatico sono stimate in 290 miliardi di Euro ogni anno. Questa condizione è aggravata dalle troppe aziende all’interno dell’UE che difettano di una politica di sicurezza formalmente definita. Alcune consultazioni pubbliche hanno dimostrato che oltre la metà degli intervistati ha sperimentato incidenti con un grave impatto sulle attività. E, infine, la Commissione sostiene che a causa dei problemi di sicurezza gli utenti Internet sono meno fiduciosi nell’utilizzo di servizi online.
Le organizzazioni coinvolte
La direttiva NIS, che è stata ratificata a dicembre 2015 dopo tre anni di lunghe trattative, è stata approvata dal Consiglio d’Europa lo scorso 17 maggio; passerà ora al Parlamento Europeo per l’approvazione in seconda lettura che la renderà definitiva. Dal momento in cui sarà effettiva gli Stati Membri avranno a disposizione 21 mesi per recepirla nei rispettivi ordinamenti.
I governi nazionali dovranno anche definire i Computer Security Incident Response Team (CSIRT), se ancora non li hanno, o adattare i loro team esistenti.
Dopo di che arriverà un momento di svolta, poiché gli Stati membri dovranno stabilire quali settori sono considerati “servizi essenziali”, dal momento che questi, insieme ai fornitori di servizi digitali, diventano soggetti al nuovo regime. Nel contesto della direttiva, questi servizi essenziali sono tutti quei servizi vitali per le necessità critiche di tipo economico e/o sociale. Inoltre, essi devono essere dipendenti da sistemi di rete e di informazione in un modo tale che eventuali interruzioni ostacolino operazioni cruciali. Gli Stati membri dispongono di una certa libertà d’azione nello stabilire quali imprese rientrino in questa categoria, ma la direttiva pone l’accento su energia, trasporti, servizi finanziari, sanità, fornitura di acqua potabile e infrastrutture digitali. Le organizzazioni che operano in questi settori sperimenteranno il pieno campo di applicazione della direttiva NIS.
In modo meno rigoroso, invece, sono indirizzati i cosiddetti fornitori di servizi digitali, che comprendono le aziende che offrono servizi cloud, marketplace online e motori di ricerca, ma non i social media. Essi, ad esempio, devono segnalare incidenti di sicurezza quando questi hanno “un impatto sostanziale sulla fornitura di un servizio … che essi offrono all’interno dell’Unione”. Gli operatori di servizi essenziali devono in ogni caso riferire “incidenti che hanno un impatto sulla continuità dei servizi essenziali che essi forniscono”. Inoltre, se un servizio digitale è fornito a un provider di servizi essenziali e il servizio è compromesso, il fornitore del servizio essenziale è responsabile in base alla conformità alla direttiva NIS.
Misure da adottare
Una volta che una violazione è identificata la direttiva impone che l’organizzazione adotti “misure adeguate e proporzionate di gestione tecnica e organizzativa del rischio”. Ciò include misure per prevenire o ridurre al minimo l’impatto e garantire la continuità dei servizi. Tutti gli incidenti devono essere segnalati secondo uno schema istituito all’interno dello Stato membro, “senza indebito ritardo”, e i team CSIRT possono richiedere l’adozione di misure appropriate per prevenire tali incidenti in futuro.
La direttiva NIS non specifica l’entità delle multe che devono essere comminate se una società viola le norme. Secondo Peter Armstrong, Executive Director e Head of Cyber della londinese FINEX Global, “le multe potrebbero raggiungere anche il 2% del fatturato globale di una società, o fino a 75 milioni di Euro per i casi più gravi di noncuranza”. Ciò dipende dal Paese in cui la violazione avviene, anche se, poiché ogni Paese deve stabilire “sanzioni efficaci, proporzionate e dissuasive”, le sanzioni per i fornitori di servizi digitali dovrebbero essere inferiori a quelle per le organizzazioni che forniscono servizi essenziali.
Prepararsi per la direttiva
Quindi, come possono prepararsi le organizzazioni all’entrata in vigore della nuova direttiva? In un recente sondaggio condotto da IDG Connect tra decisori nel Regno Unito, Francia e Germania, la paura principale è il costo associato a regole di conformità più severe. L’Unione Europea ha stimato che il costo totale a carico dei settori industriali sarà compreso all’incirca tra 1 miliardo e 2 miliardi di Euro, mentre le PMI affronterebbero costi tra 2.000 Euro e 5.000 Euro ciascuna. Costi che la Commissione Europea giustifica dicendo che sono di gran lunga inferiori a quelli del cyber-crimine e delle violazioni informatiche.
Al fine di essere pienamente conformi, le organizzazioni devono rendere attive soluzioni di strong authentication in modo da minimizzare gli accessi non autorizzati. Devono essere attiviate pratiche di risk management per rilevare proattivamente violazioni imminenti o comportamenti rischiosi da parte degli utenti. Una procedura per segnalare le violazioni dovrebbe essere definita e verificata in modo indipendente. E deve esserci consapevolezza che la quantità di dati inviati da e verso dispositivi mobili sta esplodendo, il che sottolinea la necessità di un’efficace sicurezza mobile. La buona notizia è che tutte le regole e gli standard di conformità già esistono, e in effetti molti fornitori stanno già offrendo da tempo prodotti che consentono di conformarsi alla direttiva NIS.
