È fallito l’accordo politico sulla legge per il recepimento della direttiva NIS 2 dell’UE e il rafforzamento della sicurezza informatica prima delle elezioni politiche. SPD, Verdi e FDP non sono riusciti a trovare un accordo sui punti fondamentali. Ciò significa che, a più di due anni dall’approvazione della direttiva UE, l’urgente e necessario rafforzamento della legge non si è concretizzato.
Il termine di recepimento è ampiamente superato. Dopo le elezioni politiche, il nuovo governo federale dovrà fare un secondo tentativo, in maniera completamente nuova. Mentre la politica fallisce, le crescenti minacce di attacchi informatici rendono più chiaro che mai il motivo per cui le aziende non dovrebbero aspettare linee guida precise da Berlino per procedere all’attuazione. Anche senza una nuova legge nazionale, la direttiva NIS 2 si applica già nell’UE. Chi non agisce subito rischia di incorrere in gravi falle nella sicurezza e in sanzioni.
La situazione attuale
Migliore gestione delle vulnerabilità e dei rischi, sistema di segnalazione più rigoroso, rilevamento delle minacce all’avanguardia – NIS 2 è un’iniziativa molto complessa con un obiettivo importante: promuovere la resilienza informatica della collettività europea. Alla luce dell’aggravarsi della situazione di minaccia internazionale, la direttiva era attesa da tempo. Ora è importante che le aziende e le istituzioni interessate recepiscano i requisiti in modo rapido e scrupoloso, senza negligenze.
Finora, il recepimento della direttiva NIS 2 si presenta piuttosto eterogeneo. Quasi nessuno dei 27 Stati membri è ancora riuscito a implementare pienamente la nuova direttiva, anche se alcuni Paesi hanno raggiunto un livello di maturità accettabile.. Per chi indugia, ci sarà ancora una proroga di due mesi. Tuttavia, questo non deve indurre i membri a trascurare i propri compiti al riguardo e ad abbassare la guardia. Dopo tutto, sono in gioco il benessere e la sicurezza della comunità europea, ragione per cui il fattore motivante non deve essere costituito solo dalla minaccia di possibili sanzioni per mancata conformità, dalla cancellazione di sussidi o dall’eventuale perdita finanziaria, ma anche dal desiderio di proteggere tali beni. Alla luce del costante aumento delle minacce, le infrastrutture critiche necessitano di una maggiore resilienza informatica. Il regolamento NIS 2 è uno strumento adatto a questo scopo, a patto che il recepimento non continui a essere zoppo e sia invece portato avanti in modo scrupoloso. Il fallimento dei colloqui in Germania dimostra che le imprese non possono contare su una rapida soluzione politica. Ciò rende ancora più importante che esse stesse agiscano e si concentrino sull’attuazione della direttiva NIS 2. Ma perché il recepimento del nuovo regolamento è fallito?
La normativa NIS 2 è troppo esigente?
Quasi tutti gli esperti di sicurezza concordano sul fatto che i requisiti della NIS 2 sono ragionevoli e realisticamente attuabili. Lodevole è anche l’obiettivo di rafforzare la resilienza informatica generale delle istituzioni europee e delle catene di approvvigionamento attraverso una migliore gestione e segnalazione dei rischi e delle vulnerabilità. In considerazione dell’attuale situazione di minaccia, le misure di sicurezza informatica selettive non sono sufficienti; è necessario un approccio olistico. L’ideale sarebbe avere iniziative di portata globale, ma una strategia standardizzata a livello europeo per una maggiore resilienza informatica è quantomeno un buon inizio.
La maggioranza delle aziende è pronta a fare la propria parte. Purtroppo, i requisiti sono naturalmente molto complessi. Addentrarsi nella giungla delle normative, comprenderle e attuarle richiede pazienza. Inoltre, molte istituzioni hanno fatto poco per affrontare queste tematiche prima della NIS 2. Il sistema di segnalazione più rigoroso richiede, ad esempio, la tenuta di un registro dei fornitori di servizi e la definizione di processi specifici per l’obbligo di segnalazione, due aspetti che prima della NIS 2 erano oggetto di scarsa attenzione in molti ambienti. A ciò si aggiunge l’emergere di metodi di cyberattacco supportati dall’intelligenza artificiale, che causano ulteriore complessità.
Il supporto di partner affidabili in materia di conformità
Se le aziende sono comprensibilmente sopraffatte dalla complessità e dagli sforzi necessari, e forse anche dalla mancanza di competenze interne, la collaborazione con un fornitore esterno di servizi rappresenta una buona opzione. Con un ampio portafoglio di servizi – dalla crittografia ai servizi di backup fino alla protezione di importanti canali di comunicazione –, questi partner aiutano le aziende a raggiungere una configurazione conforme alla NIS 2 e a proteggere i processi critici per l’azienda, come la comunicazione e la negoziazione di titoli. Tuttavia, attraverso questa cooperazione non è possibile trasferire le responsabilità. Le aziende restano responsabili della gestione della propria infrastruttura di sicurezza, della propria resilienza informatica e della cooperazione efficace con i propri partner.
La direttiva NIS 2 garantisce standard di sicurezza uniformi e maggiore resilienza informatica
Molte persone non vogliono più sentir parlare di NIS 2, perché sembra loro che il problema sia stato sufficientemente portato all’attenzione del pubblico negli ultimi anni.. È quindi ancora più importante sottolineare che la direttiva non è l’ennesimo adempimento burocratico di una UE inefficiente, come sostengono alcuni catastrofisti. Essa contiene standard minimi ragionevoli che porteranno all’armonizzazione della resilienza informatica in tutta l’UE.
Per proteggere le infrastrutture critiche e i loro cittadini, gli Stati membri devono orientarsi verso un obiettivo comune e introdurre standard comparabili. Questo è l’unico modo per garantire che i processi di business critici continuino a funzionare anche in tempi di crisi, il che in molti settori non è solo un obbligo aziendale, ma anche un dovere morale. Un’interruzione della comunicazione durante un’operazione importante, ad esempio, avrebbe conseguenze fatali nel vero senso della parola. Il Bundestag non deciderà più sul recepimento della direttiva NIS 2 prima delle elezioni politiche. Le aziende non dovrebbero aspettare, e devono considerare l’attuazione della NIS 2 non come un esercizio obbligatorio, ma come una necessità strategica. Per non farsi trovare impreparati in futuro, tutti i responsabili di aziende e istituzioni dovrebbero ricordare ancora una volta che una resilienza informatica efficace può essere raggiunta solo attraverso sforzi congiunti.
*Florian Korhammer è Chief Information Security Officer (CISO) di Retarus.
