Il nuovo Regolamento UE sulla cybersecurity
L’Unione Europea si dota di nuove misure comuni per la sicurezza
Non ci stancheremo mai di dire che la sicurezza informatica è uno dei temi più caldi per chi lavora nel mondo del digital ed è per questo che il nostro reparto Tech sta investendo tanto sui servizi di cybersecurity per i nostri clienti.
Che la sicurezza dei dati e delle reti sia una priorità per tutti lo dimostra anche la recente adozione da parte della UE del nuovo Regolamento 2023/2841, che prevede diverse misure per aumentare il livello di sicurezza informatica presso le istituzioni, gli organi e gli organismi dell'Unione Europea. L’obiettivo è garantire un’amministrazione pubblica più sicura e resiliente, e per questo anche più efficiente, allineando gli standard degli Stati membri.
Questo obiettivo era già stato posto dalla NIS 2, una direttiva dell’anno scorso che aveva introdotto nuove misure di cybersecurity per gli Stati membri, creando un livello comune di sicurezza informatica in modo da migliorare la capacità di risposta agli incidenti.
Cosa stabilisce il nuovo Regolamento
Il nuovo Regolamento, in vigore dal 7 gennaio 2024, fa un passo ulteriore, stabilendo delle misure per istituire un quadro interno di gestione, governance e controllo dei rischi per la cybersicurezza in modo da rendere coerenti le misure di tutti gli enti dell’UE. Viene sottolineata in particolare la necessità di una maggior comunicazione tra tali enti attraverso la segnalazione degli incidenti e la condivisione di informazioni al fine di rilevare con più facilità le potenziali minacce.
Il quadro normativo regolamenta l’operato del CERT-UE, un’entità permanente per la cyber sicurezza delle istituzioni, degli organi e degli organismi dell'Unione: nato come task foce della Commissione per la risposta alle emergenze informatiche, questo team si cristallizza ora come un vero e proprio centro di intelligence e come un organo consultivo centrale in materia di cybersecurity, in grado di fornire assistenza ai soggetti dell'Unione in relazione a eventuali incidenti.
Accanto al CERT-UE viene istituito anche l’IICB (cert-), un comitato interistituzionale con compiti di direzione strategica e controllo, tra cui sostenere l'attuazione del Regolamento da parte dei soggetti dell'Unione e imprimere una direzione all’operato del CERT-UE.
Cybersecurity: le aziende cosa possono fare?
L’emanazione di questo Regolamento è significativa perché mette in luce il fatto che la cybersecurity è ormai una priorità per qualunque entità o organizzazione si trovi ad operare in ambito informatico.
Anche per la tua azienda!
Il testo del Regolamento evidenzia infatti che “l'evoluzione della tecnologia e la maggiore complessità e interconnessione dei sistemi digitali amplificano i rischi per la cybersicurezza, rendendo i soggetti dell'Unione più vulnerabili alle minacce e agli incidenti informatici, il che rappresenta un pericolo per la loro continuità operativa e per la loro capacità di protezione dei dati”.
Tra i fattori chiave dell’aumento dei rischi ci sono:
- il maggior ricorso ai servizi cloud e al lavoro a distanza
- l'uso generalizzato delle tecnologie dell'informazione e della comunicazione (TIC)
- l'elevato livello di digitalizzazione
- il costante divenire delle minacce informatiche
- l’interdipendenza tra i soggetti e l’integrazione dei flussi di dati
Si tratta di condizioni che interessano anche la gran parte delle imprese, ragion per cui l’aumento della resilienza si pone come un obiettivo chiave a tutti i livelli, non solo quello istituzionale.
Così come gli enti amministrativi europei, anche le organizzazioni private hanno una forte interdipendenza a livello di flussi di dati: nella tua azienda un data breach può avere effetti a cascata più ampi e di lunga durata su altri soggetti, tra cui i tuoi clienti. Ecco allora che dotarsi di un sistema di prevenzione e gestione delle minacce informatiche, oltre ad un piano di risposta in caso di attacchi, diventa un’esigenza fondamentale anche per la tua realtà.
Come mette in evidenza il Regolamento, qualunque quadro d’intervento dovrebbe basarsi su un approccio multirischio, che significa “proteggere i sistemi informativi e di rete e il loro ambiente fisico da eventi quali furti, incendi, inondazioni, problemi di telecomunicazione o interruzioni di corrente, o da qualsiasi accesso fisico non autorizzato nonché dai danni alle informazioni […] e ai loro impianti di trattamento delle informazioni e dalle interferenze con tali informazioni o impianti che possano compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati conservati, trasmessi, trattati o accessibili tramite i sistemi informativi e di rete.”
Significa che anche la tua realtà diventa sempre più vulnerabile ad attacchi esterni ed è necessario adottare un approccio multidisciplinare e strategico per proteggerla.
Affidarti ad un esperto di cybersecurity è il modo migliore per valutare realisticamente tutte le possibili minacce e studiare un piano di difesa efficace. Vuoi scoprire se la tua impresa o la tua organizzazione sono esposte a potenziali rischi informatici? Il nostro reparto IT è a tua disposizione per una consulenza, non devi far altro che contattarci.