Riccardo Nuti : 16 Settembre 2024 07:22
Il 10 novembre 2022 il Parlamento Europeo, a larga maggioranza, ha approvato la Direttiva NIS2 (Network and Information System Security) con la sua pubblicazione in Gazzetta Ufficiale dell’Unione Europea (Direttiva UE 2022/2555) in data 27 dicembre 2022. La Direttiva NIS2 modifica il Regolamento (UE) n. 910/2014 e la Direttiva (UE) 2018/1972, e indica il suo recepimento da parte degli stati membri della UE entro la data del 17 ottobre 2024.
Come tutti i documenti che riguardano la tecnologia, ma soprattutto la sicurezza digitale, non debbono essere monolitici e definitivi, ma vivere tenendo conto dei contesti tecnologici, sociologici (es. pandemia COVID), geopolitici (es. guerra in Ucraina) e delle situazioni di miglioramento legati alla “applicabilità” ed alla “applicazione” nello specifico della normativa in esame.
Lo scenario generale, dal punto di vista degli apparati e delle connesse infrastrutture tecnologiche, presenta una rischiosità generale crescente, come non si vedeva negli anni precedenti. Gli stati membri, e quindi l’Unione Europea, hanno sentito la necessità di aumentare la capacità di resilienza, di risposta e di condivisione dei rischi, ovvero incrementare le interazioni tra stati per rispondere alle minacce in maniera unitaria, condividendo informazioni e azioni tempestivamente al fine di ridurre il rischio dei singoli soggetti interessati, da attacchi cibernetici o, più in generale, da situazionali non volute di decadimento o blocco delle funzionalità operativa degli apparati e sistemi, come possono essere le aziende e le pubbliche amministrazioni che sono le prime esposte alle minacce informatiche.
Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.
Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.
Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti
darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765.
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Gli elementi principali che hanno portato alla riemissione della NIS2 sono stati:
La suddivisione dei Soggetti Essenziali e Soggetti Importanti è funzione del servizio offerto, della sua dimensione, in termini di dipendenti e di fatturato (revenue), e della sua criticità. Relativamente alla dimensione, la loro identificazione è demandata agli stati membri, ma nello stesso tempo al fine di non incorrere ad incertezze da parte dei singoli stati e a disomogeneità di applicazione della Direttiva in esame, la stessa rimanda alla Raccomandazione 2003/361/CE della Commissione (art. 2, par.1) per l’individuazione oggettiva e uniforme di un criterio di soglia con la quale le imprese siano puntualmente identificate come “medie imprese” o quelle che superano i massimali delle medie imprese. Al riguardo, la EU prevede anche che i singoli stati membri possono includere, indipendentemente dalla loro dimensione, piccole e micro imprese nell’applicazione di detta Direttiva qualora, che per loro criticità, soddisfino a ruoli chiave “per la società, l’economia o per particolari settori o tipi di servizio” (considerando 7);
Per completezza si riportano gli ulteriori servizi, già presenti nella Direttiva precedente, sempre distinti in “Settori ad alta criticità” e “Altri settori critici”. Nel primo insieme rientrano i seguenti servizi “Energia”, “Trasporti”, “Settore bancario”, “Infrastrutture dei mercati finanziari”, “Settore sanitario”, “Acqua potabile” e “Infrastrutture digitali”. Nel secondo insieme sono ricompresi i servizi “Fabbricazione” (di sistemi sanitari, di computer, di apparecchiature elettroniche, di mezzi di trasporto, di autoveicoli, ecc.), “Fornitore di servizi digitali” e “Ricerca”.
Non si applica la Direttiva NIS2 per gli enti della pubblica amministrazione i cui soggetti operano prevalentemente “nei settori della sicurezza nazionale, della sicurezza pubblica, della difesa o svolgono attività di contrasto, compresi la prevenzione, l’indagine, l’accertamento e il perseguimento di reati”;
I singoli stati membri debbono provvedere affinché le misure di vigilanza o di esecuzione imposte ai Soggetti Essenziali e Importanti, in relazione agli obblighi indicati nella Direttiva NIS2 (con particolare riferimento agli artt. 21 e 23) “siano effettive, proporzionate e dissuasive, tenuto conto delle circostanze di ciascun singolo caso” (art. 32, par. 1). In particolare, gli stati membri, con le proprie autorità nazionali competenti (per l’Italia è l’Agenzia per la Cybersicurezza Nazionale), possono decidere di sottoporre i Soggetti Essenziali a: ispezioni in loco, audit di sicurezza, audit ad hoc, scansioni di sicurezza e richieste di informazioni necessarie a valutare le misure di gestione dei rischi di cibersicurezza adottati.
Se dopo gli accertamenti effettuati le misure adottate risultassero inefficaci, lo stato membro provvede affinché la propria autorità competente (ovvero, l’ACN) abbia il potere di fissare un termine entro il quale un Soggetto Essenziale è tenuto alla applicazione di azioni vincolanti, nonché riferire della loro attuazione. Anche per i Soggetti Importanti, qualora gli stessi non rispettino la Direttiva NIS2 le attività competenti debbono agire tempestivamente attraverso le misure di vigilanza ex-post, tenendo conto, come già detto, all’applicazione di controlli siano “effettivi, proporzionati e dissuasivi”;
Qualora l’incidente non sia concluso al momento della relazione finale, i soggetti interessati debbono fornire una relazione sulla situazione e sui progressi ottenuti fino al quel momento, inviando “la relazione finale entro un mese dalla gestione dell’incidente”. Infine, tra la notifica “entro le 72 ore” e la “relazione finale”, il CSIRT o, in alternativa l’autorità competente, può richiedere relazioni intermedie (Intermediate Status Report) sullo stato di gestione dell’incidente.
Al di là delle considerazioni che hanno portato ad una maggiore ridefinizione e indirizzamento della Direttiva NIS2 per non creare incertezze e disomogeneità, nonché fornire un minimo di base di trattamento comune, tra gli stati membri sulle tematiche della cybersecurity, occorre anche, e soprattutto, evidenziare e riconoscere la presenza di 6 pilastri fondamentali che caratterizzano in modo importante l’essenza della Direttiva in esame.
Con Direttiva NIS2 gli stati membri diventano promotori per perseguire l’innalzamento del livello di capacità nel prevenire e nel gestire fenomeni cyber dei singoli Soggetti Essenziali e Importanti (art. 20). Gli organi di gestione aziendale non possono più delegare ai sistemi informativi, e/o a coloro che gestiscono la rete, gli obiettivi, le priorità e le misure da mettere in essere per garantire la sicurezza aziendale. Al riguardo, la Direttiva indica che gli stessi responsabili, che compongono e concorrono nella definizione e indirizzo della Governance dei Soggetti Essenziale e Importanti, siano oggetto di una formazione specifica per supportarli nella consapevolezza della gestione dei processi di cybersecurity, ovvero nel governo delle attività di approvazione del rischio, delle decisioni a sostegno delle misure, nonché della supervisione delle stesse.
Analogamente la formazione deve essere periodicamente effettuata ai loro dipendenti affinché siano alimentate le conoscenze e le competenze sufficienti per riconoscere ed individuare i rischi. Gli stessi siano consapevoli delle pratiche di gestione dei rischi e dei relativi impatti sui servizi offerti qualora si verifichino. In pratica occorre creare una crescita trasversale e verticale sulla gestione del rischio cyber di tutti i componenti che concorrono a quel servizio, a partire innanzitutto dagli organi direzionali fino a coloro che debbono attuare e presidiare le misure approvate e applicate.
I rischi, a cui sono interessate le azienda o le pubbliche amministrazioni che rientrano nella condizione di Soggetti Essenziali o Importanti, possono essere di natura endogena che esogena. Ad esempio, nel primo caso possono rientrare l’errore umano di un operatore oppure di un dipendente non soddisfatto, nonché problematiche di tipo tecnico (malfunzionamento e aggiornamento software, non perfetta/assenza di manutenzione). Nel secondo caso possono essere cause di tipo: fenomeni naturali (es., terremoti, alluvioni), fenomeni malevoli (hacker o activist) e situazioni geopolitiche (es., guerra ibrida). Sono stati riportati degli esempi e non è una esposizione esaustiva dei rischi a cui possono essere interessati i Soggetti, ma quello che interessa evindenziare è la presenza di molteplici rischi da individuare, analizzare e valutare. A questo scopo la Direttiva NIS2, che va al di là di una valutazione dei rischi solo tecnica, indirizza una gestione del servizio offerto come un ecosistema che può essere oggetto di un approccio di analisi “multirischio” (art. 21).
Un aspetto rilevante assumono i requisiti di sicurezza poiché con la Direttiva si è voluto dare due indicazioni importanti. La prima indicazione è che gli stati membri provvedono affinché le misure di sicurezza tecniche, operative e organizzative adottate dai Soggetti Essenziali e Importanti siano adeguate e proporzionate alla gestione alla gestione dei rischi connessi alla sicurezza dei sistemi informatici e di rete, che nella loro efficacia supportano i servizi erogati da detti soggetti. Tali misure debbono, non solo prevenire attività e fenomeni di interruzione parziale o totale del servizio, ma anche siano capaci di ridurre al minimo l’impatto di efficienza e prestazioni sui propri servizi e su eventuali ulteriori servizi ad essi collegati.
La Direttiva non parla di misure di sicurezza tecnica in termini assoluti, ma pone la loro attenzione anche nella implementazione ed attuazione in relazione “al grado di esposizione del soggetto al rischio”, alla dimensione del soggetto che le attua, alla probabilità di accadimento di un evento anomalo, identificando altresì la sua gravità in termini di impatto sociale ed economico. La seconda indicazioni è che la Direttiva impone che gli stati membri adottino, nell’ambito della cosiddetta gestione multirischio, un insieme di misure minime su aspetti specifici da analizzare ed applicare al fine di contrastare in modo efficace e tempestivo a possibili eventi non desiderati; in particolare, gli aspetti specifici indicati dalla direttiva in esame sono: “a) politiche di analisi dei rischi e di sicurezza dei sistemi informatici; b) gestione degli incidenti; c) continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi; d) sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi; e) sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità; f) strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza; g) pratiche di igiene informatica di base e formazione in materia di cibersicurezza; h) politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura; i) sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi; j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso”.
Un ulteriore aspetto di attenzione introdotto con la Direttiva in esame riguarda le possibili vulnerabilità che si possono introdurre nella fornitura di un servizio o nella realizzazione di un prodotto attraverso la catena di approvvigiovamento (supply chain). Al riguardo, occorre valutare ed individuare i rischi connessi nel rapporto tra i soggetti e i fornitori di prodotti e servizi, nella qualità entrante dei prodotti realizzati dai fornitori, nonché nella pratiche metodologiche adottate dai fornitori nei processi di sviluppo sicuro del codice (art. 21, par. 3).
L’efficacia e la tempestività nell’adottare misure a prevenire ed a contrastare eventi anomali passa anche anche attraverso pratiche coordinate messe in atto in ogni stato membro nella divulgazione delle vulnerabilità. Ogni stato membro designa un CSIRT che “funge da intermediario di fiducia”, facilitando l’interazione tra la persona (fisica o giuridica) che rileva la vulnerabilità e il fabbricante o fornitore di servizi/prodotti TIC per i quali possono sussistere situazioni vulnerabili.
Al riguardo, la NIS2 promuove e facilita, attraverso i riferimenti dei CSIRT nazionali di ciascun stato membro, la segnalazione anche in forma anonima delle vulnerabilità, salvaguardando nello stesso tempo l’anonimato della persona (fisica o giuridica) che ha segnalato la problematica. È del tutto pleonastico che se la segnalazione della vulnerabilità è accertata e il relativo impatto coinvolge altri soggetti di altri stati membri, il CSIRT per primo coinvolto coopera, se necessario, con gli CSIRT degli stati membri i cui soggetti possono essere interessati dalla medesima vulnerabilità (art. 12).
Nella gestione multirischio i Soggetti Essenziali e Importanti non possono assolutamente prescindere dalla continuità operativa, ovvero le aziende o le pubbliche amministrazioni hanno obblighi normativi connessi a seguito di un incidente Cybersecurity di mitigare gli effetti, garantendo livelli adeguati dei servizi offerti e di approvvigionamento dei prodotti e dei servizi TIC (Tecnologie dell’Informazione e della Comunicazione).
Nell’ambito dell’operatività aziendale, anche se non esplicitamente riportato nella Direttiva in esame, non possiamo prescindere dagli strumenti OT (Operation Technology), a supporto del monitoraggio e della automazione industriale, in aggiunta agli strumenti classici IT (Information Technology). Una volta tali sistemi erano caratterizzati da una affidabilità e continuità in quanto godevano di un loro isolamento fisico (reti air-gap). Oggi, viceversa, i sistemi OT stanno diventando sempre sistemi di calcolo evoluti, convergendo ed integrandosi con i sistemi IT con vantaggi di processazione e di calcolo evidenti che, da un lato, ne facilitano la gestione e la operatività, ma dall’altro lato, perché più evoluti tecnologicamente e, soprattutto, perché sempre più connessi alle reti pubbliche possono essere oggetti ad attacchi cyber.
Il concetto di continuità operativa nella NIS2 è espresso con poche righe e in forma, tutto sommato generica, in termini di “gestione del backup, di ripristino in caso di disastro e di gestione delle crisi” (art. 21, par. 2). Per meglio contestualizzare l’aspetto di continuità operativa i soggetti interessati non possono prescindere dal considerare ed applicare la metodologia Business Impact Analysis (BIA). Tale metodologia di analisi consente in funzione del business aziendale di determinare i possibili impatti e le influenze indesiderate sul business stesso causati da eventi anomali o indesiderati (come l’erogazione di servizi o l’interruzione dei prodotti e delle risorse TIC).
Aspetto sicuramente importante sarà quello di definire e di individuare gli impatti di tipo economico, normativo e di immagine. Una analisi di carattere generale che sicuramente dovrà essere considerata, è quella di non vedere un sistema, un processo o un servizio come elemento monolitico e indipendente. Considerate infatti le forti interconnessi, dirette o indirette, tra le infrastrutture/sistemi, occorre valutare le interazioni che potrebbero incidere negativamente sul servizio o prodotto realizzato. In particolare, occorre introdurre accanto alla metodologia BIA anche pratiche di “modellizzazione di strutture multiple e complesse per vedere gli effetti a cascata” in quanto consentirebbero di adottare soluzioni resilienti che ne garantirebbero l’efficacia e la tempestività di intervento a fronte di fenomeni non voluti.
La Direttiva NIS2 assume, come già detto, un ruolo importante nel contesto europeo in tema di accrescimento al contrasto e alla resilienza degli attacchi di sicurezza informatica proveniente dal mondo cyber. Tale ruolo non rimane isolato ma si rapporta e crea, in particolare, una massa critica con le ulteriori normative europee attualmente presenti che rafforzano il contrasto, la percezione e la volontà dell’Europa sul innalzamento e sul consolidamento del livello di contrasto agli attacchi cyber. Le ulteriori normative normative appena accennate sono il Regolamento GDPR (Regolamento UE 2016/769), Cybersecurity Act (Regolamento Ue 2019/881), Regolamento DORA (Regolamento UE 2022/2554) e Direttiva CER (Direttiva UE 2022/2557). Di seguito i punti che contraddistinguono le diverse normative e i punti di contatto con la Direttiva NIS2:
Il GDPR indirizza la protezione delle persone fisiche in relazione al trattamento dei propri dati personali e alla loro libera circolazione. La Direttiva NIS2 non si sovrappone o va in sostituzione del GDPR ma si integra con la Direttiva stessa. In vari punti della Direttiva si fa esplicito riferimento al GDPR (artt. 2, 31 e 35), dove si evince che qualora i sistemi di rete e i sistemi informatici abbiano subito conseguenze a seguito di attacchi cyber e le analisi di tali attacchi abbiano rilevato una violazione dei dati personali (data breach), la NIS2 prevede che le autorità di riferimento nazionali per l’applicazione di detta direttiva (l’ACN, per l’Italia) informino ed operino in stretta collaborazione con le autorità di controllo nazionali sull’applicazione del Regolamento GDPR (Garante Privacy, per l’Italia).
A tale condivisione si aggiungono altri elementi che sono condivisi tra Direttiva NIS2 e GDPR: i) la notifica degli incidenti; ii) la cooperazione e lo scambio informazioni tra i stati dell’UE; iii) la valutazione dei rischi e l’adozione delle misure di sicurezza da applicare. Relativamente a quest’ultimo aspetto la finalità delle due valutazione dei rischi è differente, per la NIS2 è il rischio associato alla sicurezza delle reti e dei sistemi informatici, mentre per il GDPR il rischio è valutato sui diritti e sulla libertà della persona.
Il Cybersecurity Act (Regolamento Ue 2019/881) entrato in vigore il 27 giugno 2019 costituisce ed parte integrante del macro progetto sulla cybersecurity portato avanti dall’UE. Il Regolamento è un elemento importante e complementare alla Direttiva NIS2 che ha l’obiettivo di innalzare il livello di resilienza agli attacchi dei sistemi informatici. Il Regolamento Cybersecurity Act è costituito di due elementi importanti: i) l’introduzione dei sistemi di certificazione della sicurezza informativa valevoli all’interno dell’UE dei dispositivi connessi ad Internet, dei prodotti e dei servizi informatici e dei processi IT; ii) la maggior esplicitazione del ruolo dell’ENISA attraverso la definizione di un suo assetto organizzativo, di obiettivi e dei relativi compiti (relativamente a questo ente europeo si rimanda successivamente il dettaglio e il rafforzamento del suo ruolo in Europa con la emissione della Direttiva NIS2).
Il Regolamento DORA (Regolamento UE 2022/2554) in vigore dal 17 gennaio 2023 ha come data il 17 gennaio 2025 affinché gli enti finanziari si adeguino agli adempimenti in esso previsti. Nel range di applicazione del Regolamento Dora rientrano le banche, le assicurazioni, istituti finanziari, borse, fornitori di servizi di cripto-valute, agenzie di rating del credito, fornitori di servizi di crowfunding, nonché i fornitori di servizi ICT. Gli enti economici e finanziari che rientrano nell’applicazione del Regolamento DORA non sono obbligati nella applicazione della Direttiva NIS2 “ai sensi dei criteri di specialità” (art. 4, par. 1 e 2), in quanto le disposizioni previste nel suddetto Regolamento sono considerate corrispondenti e quindi soddisfano a quelle presenti nella Direttiva NIS2.
L’aspetto, seppur complementare che le due normative hanno in comune, è che le autorità di vigilanza competenti sull’applicazione e sulla vigilanza della Direttiva in esame cooperino con le corrispondenti autorità di vigilanza dei singoli stati membri responsabili nel monitorare e controllare l’adozione del Regolamento Dora. In pratica nell’applicazione della Direttiva NIS2 verso un ente che è individuato Soggetto Essenziale o Importante e che a suo volta ricade nel ruolo di fornitore terzo critico di servizi TIC, le diverse autorità competenti provvedono a comunicare tra di loro lo stato di applicazione della NIS2 del Soggetto interessato (art. 33, par. 6). L’interrelazione non è a livello solo nazionale ma anche internazionale, in quanto il Regolamento DORA consente alle autorità europee di vigilanza e alle autorità competenti di partecipare ad attività dei diversi gruppi di cooperazione, inclusi i CSIRT per lo scambio di informazioni (es. dettagli degli incidenti, minacce informatiche) (considerando 28).
La Direttiva CER (Direttiva UE 2022/2557) è la normativa europea che indirizza la individuazione delle entità critiche al fine di mettere in atto azioni per garantire la resilienza delle infrastrutture che supportano e concorrono all’operatività dei servizi contro eventi non desiderati associati a rischi di tipo naturali, attacchi terroristici e sabotaggi. La Direttiva CER prevede che entro il 17 luglio 2026 ciascun stato membro dell’UE individui i soggetti critici tra i seguenti settori: dell’energia, dei trasporti, del bancario bancario, delle infrastrutture dei mercati finanziari, della salute, delle acque potabili, delle acque reflue, delle infrastrutture digitali, della pubblica amministrazione, dello spazio e della produzione, trasformazione e distribuzione di alimenti.
Un aspetto importante che evidenzia la forte interdipendenza tra le due direttive è data dal fatto che la Direttiva NIS2 venga applicata a tutti quei Soggetti, che indipendentemente dalle loro dimensioni, siano stati identificati come “Soggetti Critici” dalla Direttiva CER (art. 2, par. 3). Sintetizzando gli aspetti comuni delle due direttive sono: i) individuazione dei soggetti critici; ii) adozione di opportune misure tecniche e organizzative per garantire e rafforzare la resilienza e la capacità operativa; iii) individuazione di un’autorità competente con compiti di vigilanza sulla corretta applicazione della Direttiva CER.
L’Agenzia ENISA (European Network and Information Security Agency) dell’Unione Europea ha l’obiettivo di migliorare la sicurezza e la resilienza dei sistemi informatici e delle reti di telecomunicazioni. L’UE affida all’ENISA il fulcro per le tematiche cybersecurity in termini di competenza a cui gli stati membri e le stesse istituzioni europee debbono rivolgersi.
La Direttiva NIS2 rafforza ed esplicita i compiti e il ruolo che l’ENISA. Ad esempio, l’ENISA assicura:
Vista l’alta pervasità della tecnologia digitale e delle reti di telecomunicazioni, oramai indispensabile per il benessere e la qualità della vita di una comunità, e visto anche il generale aumento di situazioni non desiderate, a causa di azioni volontarie di soggetti malevoli (hacker, activist, guerre ibride) o di azioni non volute originate da errori umani, hanno fatto sì che la l’Unione Europea emettesse la Direttiva NIS2.
Tale emissione, si inserisce in un contesto europeo di altre normative, coerente e contestualizzato, con l’obiettivo di migliorare la risposta e la resilienza generale dei sistemi digitali, delle reti e dei sistemi TIC. Tale miglioramento non dovrà essere fatto solo e monoliticamente dal singolo stato membro, dovrà tenendo conto le singole esigenze e capacità nazionali essere coordinato con tutti gli altri stati membri. Quest’ultimi sono invogliati a condividere le misure poste in essere attraverso i centri di riferimento nazionali e a condividere la tipologia degli attacchi in modo tempestivo creando un fronte comune di difesa. Questo è un punto di arrivo?
Assolutamente no. L’insieme delle normative fino ad ora emesse possono rappresentare un ecosistema dove ogni normativa, con le proprie peculiarità e specificità, si basa e si complementa con le altre. Qualora ne venga aggiunta una nuova o si venga a modificare una già in essere, necessariamente si deve valutare tutto l’impianto per non creare buchi di tipo operativo, di governance e di responsabilità manageriale che potrebbero introdurre debolezze e vulnerabilità nei servizi e prodotti erogati dai Soggetti Essenziali e Importanti. Al riguardo, la Direttiva NIS2 pur fornendo delle indicazioni ben precise, lascia ai singoli stati membri la sua attuazione.
Tale attuazione, riferendoci all’Italia, deve tener conto anche dei diversi decreti emessi nell’ambito del “Perimetro Nazionale di Sicurezza Cibernetica” e quindi creare quell’integrazione e coerenza necessari a garantire i diversi obiettivi a cui le diverse normative afferiscono. In particolare, l’obiettivo della Diretiva NIS2 è il mantenimento di attività sociali e/o economiche da cui dipendono i cittadini, le imprese e i mercati in generale. Mentre per il Perimetro Nazionale di Sicurezza Cibernetica l’obiettivo primario è la sicurezza dello stato e dei relativi servizi essenziali che ne concorrono alle sue funzioni.
Per concludere sono stati fatti passi importanti e fondamentali alla sicurezza dei sistemi e infrastrutture tecnologiche, ma l’attenzione alle diverse dinamiche tecniche e geopolitiche, la capacità di capire le diverse evoluzioni culturali e tecnologiche del mondo cyber e, soprattutto, la professionalità dovranno sempre avere un passo in più rispetto a situazioni comportamentali malevole che possono arrecare gravi danni ai sistemi e alle infrastrutture, e qui inserire come elemento basilare e fondamentale il supporto e l’aggiornamento tempestivo ed efficace delle normative europee e nazionali.
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009