REPORT DI RICERCA

In breve

In breve

  • La pandemia ha costretto le aziende a cambiare rapidamente l’approccio al lavoro. Questo ha significato una maggiore esposizione a minacce cyber.
  • Gli operatori di servizio essenziali ed i fornitori di servizi digitali hanno dovuto affrontare uno scenario di minacce in evoluzione e crescita.
  • La Commissione Europea ha accelerato la revisione della Direttiva NIS, aggiornando la cybersecurity strategy per il prossimo decennio.
  • Accenture contribuisce al rafforzamento della Cyber Resilience proponendo un’analisi delle evoluzioni normative future.


Il contesto

La trasformazione digitale verso la quale stanno virando la nostra società e l’economia fanno sì che sia sempre più necessario assicurare la sicurezza dei sistemi e delle informazioni. Nuove minacce emergono ogni giorno e la protezione di questi sistemi e dati è una priorità urgente, un imperativo, che richiede un approccio sistematico e coeso alla cybersecurity.

Il 2020 inoltre è stato un anno particolare, segnato dall’inizio della pandemia COVID-19. In questo contesto le aziende di tutto il mondo hanno dovuto rapidamente cambiare il loro approccio al lavoro, adottando modalità di smart-working per tutti i loro dipendenti ed aprendo le organizzazioni a una vera e propria rivoluzione dei modelli di lavoro.

Questi cambiamenti hanno significato una maggior esposizione delle aziende e dei loro dipendenti alle minacce cyber, specialmente se pensiamo a quelle organizzazioni che non hanno avuto modo di pianificare con attenzione questo cambio di paradigma culturale e tecnologico.

84%

L’84% degli attacchi utilizza tecniche di phishing

71%

Il 71% delle aziende ha fronteggiato forme di malware propagato fra dipendenti

230mila

230mila nuove varianti di malware identificati al giorno

6 mesi

Tempo medio per rilevare una breach

Fonte dei dati: Threat Landscape Report (ETL), ENISA

"Il tempo dell'innocenza è finito. Sappiamo di essere un bersaglio. Abbiamo bisogno di modernizzarci, rafforzarci e adattarci."

— MARGARITIS SCHINAS, Vice Presidente – Commissione Europea

La Direttiva NIS

In questo contesto si inserisce la Direttiva NIS, introdotta inizialmente nel 2016, il cui obiettivo è stabilire uno standard di cybersecurity readiness e promuovere la collaborazione tra gli stati membri dell’Unione Europea assicurando che le infrastrutture critiche per l’economia Europea siano al sicuro dagli attacchi informatici più sofisticati.

La Direttiva istituisce due categorie di organizzazioni, quelle che vengono definite come Operatori di Servizi Essenziali (OSE) e quella denominate Provider di Servizi Digitali (DSO), considerati asset strategici per le singole nazioni dell’UE che sono responsabili di individuare e determinare quali business siano in scope.

Sebbene la stretta regolatoria avuta con la NIS abbia da un lato sortito effetti positivi, garantendo una maggiore maturità ed un più strutturato governo dei processi di Cyber Security, dall’altro ha chiesto molti sforzi alle organizzazioni per garantire una piena Compliance ai requisiti da essa imposta.

Si è assistito infatti ad un disallineamento rispetto i drivers di identificazione degli operatori (in alcuni casi identificati dal singolo stato membro ed in altri basati su auto-identificazione degli operatori) ed anche rispetto i criteri di base utilizzati per l’identificazione delle soglie di qualificazione OSE e DSP.

Questo mismatch ha comportato differenze sostanziali fra stati membri non solo in termini di numerosità di operatori identificati ma anche rispetto a servizi complementari non previsti dall’elenco dei settori definiti dalla Direttiva NIS.

Alla luce degli obblighi che la nomina ad operatore di servizio essenziale comporta, e dunque dei relativi investimenti, rientrare o meno nella categoria di OSE o DSP potrebbe produrre a tendere degli squilibri fra paesi e fra operatori con la possibilità di incidere sulla competitività generale.

Le evoluzioni della Direttiva

Gli operatori di servizio essenziali (OSE) e i fornitori di servizi digitali (DSP) si sono rivelati fondamentali per la tenuta socioeconomica in un momento così delicato, ma hanno dovuto loro stessi affrontare uno scenario di minacce in evoluzione e crescita. È stato dunque un anno in cui la tecnologia ha riaffermato la sua assoluta importanza. Da qui la necessità di innalzare ulteriormente il livello di sicurezza in Europa a partire dagli operatori di servizi essenziali.

A tal proposito, il 16 dicembre 2020, la Commissione Europea ha pubblicato la proposta di revisione della Direttiva sulla sicurezza delle reti e dei sistemi informativi (Direttiva NIS 2) che introduce alcune novità e racchiude una serie di sostanziali revisioni e aggiornamenti della precedente Direttiva.

La proposta di evoluzione della Direttiva NIS si innesta in un percorso generale di irrobustimento della Cyber Resilience tramite nuovi interventi regolatori europei e azioni legislative di rafforzamento dei singoli stati membri che intendono accrescere la resilienza degli operatori, limitare l’impatto degli attacchi Cyber sul funzionamento dei mercati provvedere a uniformare l’approccio alla sicurezza degli stati membri.

Percorso di irrobustimento che vede l’Italia particolarmente attiva e impegnata. Il 2021 si è infatti aperto con la presentazione e l’accettazione, da parte di Camera e Sentato, della bozza del secondo dei quattro DPCM previsti, focalizzato sulle misure di sicurezza e la gestione degli incidenti, per integrare la materia del Perimetro di Sicurezza Nazionale Cibernetica.

L’approccio per un business Cyber-Resilient

L’obiettivo della Direttiva NIS è chiaro: stabilire un framework di livello “elevato” di sicurezza delle reti e dei sistemi informativi comune a tutti i Paesi dell’Unione Europea.

Ma questo cybersecurity framework non può essere limitato all’adempimento di ciò che richiede la Direttiva NIS: è necessario che le organizzazioni adottino un approccio olistico alla cybersecurity che vada oltre al semplice adempimento dell’indirizzo della Direttiva ma che sia focalizzato sull’identificazione, la comprensione e la mitigation delle minacce informatiche e le vulnerabilità future.

Negli ultimi anni abbiamo assistito ad un importante aumento degli investimenti in Cyber Security e a un rafforzamento delle strategie di sicurezza informatica anche grazie alla grande spinta del regolamento GDPR prima e della Direttiva capabilities per coniugare compliance ed aumento della security posture, oltre che efficientare gli investimenti riducendo i costi associati.

L’approccio Accenture

Accenture, per offrire il massimo supporto operativo ed organizzativo ai propri clienti e contribuire al rafforzamento della sicurezza del cyberspace, ha istituito un centro di competenza “NIS – Perimetro di Sicurezza Cibernetico” che ha l’obiettivo di monitorare ed informare rispetto le evoluzioni normative nazionali e comunitarie, nonché sviluppare un approccio organico che permetta di concentrarsi su precise capabilities per coniugare compliance ed aumento della security posture, oltre che efficientare gli investimenti riducendo i costi, mediante la costituzione e l’istituzionalizzazione di un framework multi-compliance dettagliato ed applicabile modularmente su un chiaro e preciso ecosistema sotteso all’erogazione dei servizi.

Ettore Galluccio

Innovation Principal Director – Accenture Security


Salvatore Torrisi

Managing Director – Accenture Security

ALTRI ARTICOLI SU QUESTO TEMA

Mettere in sicurezza il cloud
2020 Cyber Threatscape Report

CENTRO ISCRIZIONI
Resta informato con la nostra Newsletter (in inglese) Resta informato con la nostra Newsletter (in inglese)