Un incremento allarmante degli attacchi cyber I numeri parlano chiaro: nei primi 6 mesi del 2024 gli attacchi cyber sono aumentati del 23% rispetto al semestre precedente. Un aumento che va letto anche guardando gli anni precedenti: nel 2023 si è registrato in Italia un aumento degli incidenti del 65% rispetto all’anno precedente. Un evidente crescita quantitativa degli attacchi e degli incidenti informatici, che si è accompagnata da una di tipo qualitativo: nel 2019 “solo” il 47% degli attacchi era classificato come critico o grave, numero che aumenta all’81% nel 2023, confermato anche nel primo semestre del 2024. L’impatto degli attacchi sulle aziende e sulla supply chain Occorre dunque intervenire, e tempestivamente. La sicurezza informatica delle nostre aziende deve essere prioritaria: un attacco informatico ben assestato produce blocchi, ritardi, costi e danni di immagine incalcolabili. Senza considerare le ripercussioni per tutto l’ecosistema: pensiamo alla supply chain, un blocco di un fornitore strategico potrebbe causare danni rilevanti anche su tutta la catena. La Direttiva NIS2: un nuovo paradigma per la cybersicurezza La Direttiva NIS2 si muove proprio in questa direzione: le aziende che sono considerate critiche, strategiche e importanti per l’ecosistema europeo devono adeguarsi, devono dunque innalzare il proprio livello di sicurezza. Ma come farlo? Qui la grande rivoluzione della direttiva: nessuna checklist predeterminata da seguire, nessuna nuova procedura standardizzata da scrivere, nessun corso di formazione imposto dall’alto da ribaltare ai dipendenti. Le cinque chiavi della Direttiva NIS2 La Direttiva cambia completamente il paradigma della cybersicurezza: Approccio top-down innanzitutto il board, la direzione, il CDA deve prendersi la responsabilità, deve decidere, deve conoscere e seguire l’iter di adeguamento. Stop quindi al classico fa tutto il consulente esterno o il referente interno. Formazione costante il personale (il fattore H) deve essere sempre informato e formato sulle tematiche della sicurezza informatica. Formazione costante, insomma, che aiuti il dipendente, che spesso è l’oggetto di attacchi di social engineering sempre più evoluti, a sapersi difendersi e a saper reagire. Approccio taylor-made ogni azienda è diversa dalle altre; quindi, non ci sono delle misure uguali per tutte. Si dovranno effettuare analisi dei rischi, comprendere le vulnerabilità, implementare un piano di azione volto a mitigarle. Ogni realtà dovrà dunque implementare le misure, tecniche e/o organizzative, necessarie alle sue specifiche caratteristiche. Ottica di reale condivisione l’azienda non è un’isola, non si può più considerare la sicurezza informatica come chiusa all’interno delle mure aziendali. In caso di incidente occorre avvisare subito l’ACN (Agenzia per la cibersicurezza nazionale), che potrà prendere le dovute precauzione in tempo, innalzare il livello di sicurezza delle altre aziende, reagire insomma tempestivamente. Focus alla governance tutti questi processi non devono essere più considerati a sé stanti, ma dovranno essere adeguatamente proceduralizzati, documentati, innestati in un processo di compliance più ampio.
Direttiva NIS2: un nuovo approccio alla sicurezza informatica
