Ottobre è un mese speciale per la cybersecurity nell’UE. Per il dodicesimo anno, è il mese europeo dedicato alla cyber sicurezza e l’edizione 2024 è dedicata, in particolare, ad affrontare il tema del social engineering, tecnica malevola di manipolazione, influenza o inganno per ottenere il controllo di un sistema informatico o per rubare informazioni personali e finanziarie. Le statistiche dicono che il 98% degli attacchi informatici si basa su di essa e che una media azienda subisce ogni anno più di 700 attacchi di ingegneria sociale.
Per affrontare la situazione, l’Europa da tempo promuove diverse iniziative in materia di sicurezza informatica, oltre ad aver messo a punto una strategia e politiche dedicate, contemplando anche direttive dedicate.
Cybersecurity nell’UE: cosa prevede la Direttiva NIS 2
Tra le più importanti azioni in materia di cybersecurity dall’UE va ricordata la Direttiva NIS 2 (direttiva (UE) 2022/2555), che intende mettere in atto misure per assicurare un elevato livello comune di cyber sicurezza nell’Unione. Gli Stati membri dell’UE devono recepirla nella legislazione nazionale entro il 17 ottobre 2024.
La prima direttiva NIS (acronimo di Network and Information Systems), mirava a sviluppare capacità di sicurezza informatica in tutta l’Unione, a mitigare le minacce ai sistemi informatici e di rete utilizzati per fornire servizi essenziali in settori chiave e a garantire la continuità di tali servizi in caso di incidenti.
NIS 2 va a modificare la precedente NIS, partendo dalla consapevolezza che la precedente
“ha evidenziato notevoli divergenze nella sua attuazione da parte degli Stati membri, anche per quanto riguarda il suo ambito di applicazione”. Inoltre “ha conferito agli Stati membri un ampio potere discrezionale per quanto riguarda l’attuazione degli obblighi in materia di sicurezza e segnalazione degli incidenti ivi stabiliti”.
Con la direttiva (UE) 2022/2555 gli Stati membri devono garantire che le entità essenziali e importanti adottino misure tecniche, operative e organizzative appropriate e proporzionate per gestire i rischi posti alla sicurezza delle reti e dei sistemi informativi e per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi. Le misure devono essere basate su un approccio multirischio.
Nel complesso, la direttiva NIS2 si concentra su quelle organizzazioni che sono essenziali nella catena di fornitura delle infrastrutture critiche.
L’UE intende imporre sanzioni finanziarie, simili a quelle della legislazione GDPR, alle organizzazioni che non si conformano entro i tempi stabiliti.
Urgono conoscenza e competenze sulla sicurezza informatica
L’Europa è consapevole che c’è bisogno di promuovere una maggiore consapevolezza sui rischi legati alla cybersecurity nell’UE. Un sondaggio dell’Eurobarometro della Commissione UE ha messo in luce aspetti interessanti riguardanti la consapevolezza in materia di sicurezza informatica e la mancanza di qualifiche.
C’è una generale mancanza di consapevolezza. Circa tre aziende su quattro (74%) non hanno fornito alcuna formazione o non ha aumentato la consapevolezza tra i propri dipendenti. Inoltre, il 68% di ess ha dichiarato che non è necessaria alcuna formazione o sensibilizzazione sulla sicurezza informatica.
Un altro problema riguarda la carenza di profili competenti. Le aziende stanno affrontando gravi difficoltà nel trovare candidati appropriati. Più della metà delle aziende che li hanno cercati hanno riscontrato difficoltà. Si ravvisa anche una mancanza di qualifiche e di certificazioni correlate alle figure che si dovrebbero occupare di sicurezza informatica. Sempre secondo il sondaggio, il 76% dei dipendenti che ricopre ruoli correlati alla sicurezza informatica non possiede qualifiche formali o corsi di formazione certificati.
LE CONTROMOSSE DELL’UE
Nel tentativo di contribuire a colmare le lacune di conoscenza, la Commissione UE ha avviato la piattaforma online Cybersecurity Skills Academy, che riunisce corsi e iniziative di competenze in materia di sicurezza informatica provenienti da tutta Europa, è accessibile a tutti online.
Inoltre, la stessa Commissione ha deciso di investire oltre 210 milioni di euro in sicurezza informatica, capacità digitali e tecnologia nell’ambito del Digital Europe Programme. Lo farà attraverso specifiche call suddivise per svariate voci, dalla protezione di grandi impianti industriali e infrastrutture critiche (35 milioni di euro) allo sviluppo di competenze digitali avanzate, per la progettazione e l’erogazione di programmi di istruzione superiore in aree chiave della tecnologia digitale (55 milioni di euro).
In Italia una nuova legge dedicata alla cyber sicurezza
L’Italia ha recepito la direttiva NIS 2 e quest’estate ha approvato una legge (Legge 28 giugno 2024, n. 90) riguardante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”. Si compone di 24 articoli ed è strutturata in due parti. Nella prima sono illustrate disposizioni in materia di rafforzamento della cybersicurezza nazionale, di resilienza delle amministrazioni pubbliche e del settore finanziario, di personale e funzionamento dell’Agenzia per la cybersicurezza nazionale, tra l’altro.
Nella seconda parte sono indicate disposizioni per la prevenzione e il contrasto dei reati informatici anche in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari.
Comments are closed.