Cybersecurity 2025, allarme rosso per imprese e PA. La sicurezza della supply chain diventa una priorità. Aumentano i costi delle violazioni di terze parti e quasi la metà delle imprese fatica ad attrarre nuovi clienti dopo un incidente. Sanità e settore energetico sotto pressione. NIS2 e DORA impongono un cambio di marcia per rafforzare la resilienza digitale
Le normative come NIS2 e DORA impongono alle aziende di integrare la sicurezza della filiera nel loro approccio di gestione dei rischi, in modo da proteggere l’intero ecosistema digitale da minacce esterne e vulnerabilità interne. La crescita degli attacchi alla supply chain impone un cambiamento di approccio alla sicurezza della filiera digitale come imperativo strategico. Le prospettive nel campo della cybersecurity rimangono preoccupanti anche per il 2025. Il recente “Cyber Readiness Report 2024” della compagnia assicurativa Hiscox rivela che, in seguito a un attacco informatico riuscito nell’ultimo anno, il 47% delle organizzazioni intervistate ha incontrato difficoltà nell’attrarre nuovi clienti, mentre il 43% ha perso clienti già acquisiti.
Inoltre, il costo totale medio delle violazioni dei dati nel 2024 è stato di 4,88 milioni di dollari, secondo il report “Cost of a Data Breach Report” di IBM/Ponemon Institute. Ancora, le violazioni nel settore sanitario sono state le più costose, con 9,77 milioni di dollari in media, rispetto ai 6,08 milioni di dollari dei servizi finanziari. Inoltre, dall’ultimo report “European Companies cybersecurity rating” di SecurityScorecard, si evince che le più grandi organizzazioni europee stanno affrontando crescenti sfide in materia di cybersecurity, con ecosistemi di terze e quarte parti che emergono come punti di vulnerabilità significativi. Inoltre, il 98% delle aziende europee ha subito violazioni di terze parti nell’ultimo anno, lasciando le aziende esposte a interruzioni operative e rischi reputazionali.
Lo scenario appena descritto conferma la necessità di implementare sempre più strategie di cyber resilience a livello di area europea. In quest’ottica, l’UE ha introdotto due quadri di sicurezza informatica: la direttiva sulla sicurezza delle reti e delle informazioni (NIS2) e il Digital Operational Resilience Act (DORA). La NIS2, recepita in Italia lo scorso ottobre 2024 con il Dlg. 168/2024, si rivolge a un’ampia gamma di settori e sottolinea la flessibilità nella gestione del rischio. DORA, in vigore dal 17 gennaio 2025, si concentra sul settore finanziario, imponendo una rigorosa gestione del rischio, segnalazione degli incidenti e test di resilienza operativa. Inoltre, è doveroso ricordare che, mentre la NIS2 è una direttiva che richiede il recepimento nazionale, DORA è un regolamento immediatamente vincolante in termini di efficacia. Inoltre, essi condividono obiettivi comuni ma differiscono per ambito, requisiti e focus settoriale, con DORA, quale lex specialis, che ha la precedenza su NIS2 per le entità finanziarie.
RESILIENZA OPERATIVA
DORA è entrato pienamente in vigore il 17 gennaio 2025 con l’obiettivo di prevenire e mitigare le minacce informatiche. Il regolamento introduce un quadro completo per la gestione dei rischi ICT nel settore finanziario dell’UE, imponendo standard più rigorosi per rafforzare la sicurezza e la resilienza operativa. Le istituzioni finanziarie e i fornitori di servizi critici sono tenuti a potenziare i propri processi operativi e di cybersecurity, proteggendo i sistemi chiave e garantendo una maggiore stabilità del settore. Si applica a banche, a compagnie assicurative, a società di investimento e ad altri fornitori di servizi finanziari che devono adottare adeguate misure di salvaguardia contro gli attacchi informatici e migliorare i requisiti per la prevenzione dei rischi ICT nei settori finanziario e assicurativo, comprese le terze parti che forniscono servizi ICT essenziali al settore.
Il regolamento DORA pone l’accento sulla necessità di garantire la resilienza operativa digitale, affinché le istituzioni finanziarie possano affrontare in modo efficace le minacce alla sicurezza informatica lungo l’intero ciclo di vita aziendale. Alla base del regolamento vi sono cinque pilastri fondamentali, che delineano un quadro strutturato per la gestione dei rischi ICT. Il primo pilastro riguarda l’istituzione di un solido quadro di gestione del rischio ICT, essenziale per prevenire e mitigare gli attacchi informatici. Segue l’obbligo di segnalare e gestire tempestivamente incidenti e violazioni, un aspetto determinante per ridurre l’impatto di eventuali attacchi. L’altro punto chiave è la garanzia della resilienza operativa, che impone alle aziende di adottare misure adeguate per mantenere la continuità delle operazioni anche in caso di crisi. DORA si concentra inoltre sulla gestione dei rischi legati alle terze parti, come fornitori di servizi tecnologici, per evitare vulnerabilità nella catena di approvvigionamento digitale. Infine, il regolamento prevede rigorosi requisiti di conformità, accompagnati da attività di monitoraggio e rendicontazione, per assicurare che le misure adottate siano efficaci e costantemente aggiornate. Attraverso questi cinque pilastri, DORA punta a rafforzare la sicurezza e la stabilità dell’intero settore finanziario europeo.
STANDARD DI SICUREZZA
La direttiva NIS2 punta a rafforzare la sicurezza informatica in tutta l’UE, elevando il livello di preparazione degli stati membri e promuovendo una cooperazione più solida tra di essi. L’obiettivo è creare una vera e propria cultura della sicurezza, diffusa in tutti i settori strategici che dipendono dalle tecnologie ICT e che sono essenziali per il funzionamento della società e dell’economia.
Il suo ambito è quindi più ampio del DORA e comprende un’ampia gamma di organizzazioni/settori classificati in “soggetti essenziali” e “soggetti importanti”, basandosi su criteri come dimensione aziendale e fatturato. E, precisamente, i “soggetti essenziali” includono aziende nei settori ad alta criticità con oltre 250 dipendenti e un fatturato annuo superiore a 50 milioni di euro; mentre i “soggetti importanti” possono includere medie imprese con 50-250 dipendenti e un fatturato o bilancio tra 10 e 50 milioni di euro. Inoltre, la direttiva introduce misure fondamentali per la gestione dei rischi per la sicurezza informatica e obblighi di segnalazione degli incidenti maggiormente stringenti.
SANZIONI PREVISTE
La non conformità alla direttiva NIS2 e al regolamento DORA può comportare pesanti sanzioni, benché i due strumenti adottino approcci diversi. Per la NIS2, le sanzioni sono chiaramente definite: le entità essenziali rischiano multe fino a 10 milioni di euro o il 2% del loro fatturato annuo globale, mentre le organizzazioni importanti, possono essere multate fino a 7 milioni di euro o l’1,4% del fatturato annuo.
Mentre, il regolamento DORA prevede, in caso di non conformità, multe fino a un massimo di 10 milioni di euro o al 5% del loro fatturato annuo totale. Un punto comune tra NIS2 e DORA è, invece, la responsabilità personale del C-Level. Entrambe le normative prevedono che i membri del management possano essere ritenuti responsabili in caso di grave negligenza, o dolo, chiamandoli in causa non solo dell’implementazione delle misure di sicurezza informatica, ma anche delle conseguenze personali derivanti dalla non conformità.
I REQUISITI DI CYBERSECURITY
La conformità alla NIS2 si concentra sul rafforzamento dei requisiti generali di cybersecurity, sulla segnalazione degli incidenti e sulla gestione del rischio informatico, utilizzando “misure tecniche e organizzative appropriate e proporzionate”. La direttiva copre aspetti quali analisi del rischio, policy di sicurezza delle informazioni, gestione approfondita degli incidenti, continuità aziendale e sicurezza della supply chain. La conformità al DORA risulta più prescrittiva rispetto alla NIS2, in quanto il suo scopo è introdurre requisiti più rigorosi in merito alla gestione del rischio ICT e alla segnalazione degli incidenti correlati. Di conseguenza, il DORA ha disposizioni specifiche in merito ai framework ICT, alla risposta agli incidenti e ai contratti di terze parti. Inoltre, il DORA prevale sulla NIS2, se un’organizzazione rientra nell’ambito di entrambi. Inoltre, per conformarsi al DORA, le organizzazioni sono tenute a dimostrare di condurre un set appropriato di test di sicurezza su sistemi e applicazioni “critici” almeno una volta all’anno e di affrontare completamente tutte le vulnerabilità identificate dal processo di test. Mentre i requisiti di test per la conformità a NIS2 sono destinati a variare a seconda del paese.
In sintesi, è importante ricordare che la direttiva NIS2 e il regolamento DORA non sono contrastanti, bensì complementari. Mentre la direttiva NIS2 cerca di migliorare la sicurezza informatica in diversi settori, DORA si basa sulle fondamenta gettate dalla Direttiva NIS2, fornendo una protezione aggiuntiva per il settore finanziario critico. Inoltre, entrambi richiedono un approccio olistico alla sicurezza, estendendolo oltre i confini aziendali per includere l’intera filiera.
SICUREZZA SULLA SUPPLY-CHAIN
Entrambe le normative, DORA e NIS2, sottolineano l’importanza della sicurezza della supply-chain. DORA impone obblighi dettagliati sulla gestione dei rischi ICT, gestione degli incidenti, sicurezza della supply chain e test di resilienza operativa digitale, ponendo l’accento su una governance end-to-end che integri la resilienza operativa digitale in tutti i processi aziendali.
Analogamente, la NIS2 – pur prevedendo requisiti di gestione del rischio e misure di sicurezza più generici rispetto al DORA – stabilisce, comunque, misure minime da rispettare. Inoltre, entrambe le normative attribuiscono al management responsabilità precise, tra cui l’approvazione delle politiche di sicurezza, la supervisione delle misure adottate e il mantenimento di adeguate competenze in materia di cybersecurity attraverso una formazione continua. Inoltre, per quanto riguarda gli incidenti di sicurezza, entrambi i framework impongono obblighi chiari sulla loro gestione e notifica, stabilendo criteri e tempistiche per l’identificazione, la classificazione e la segnalazione degli eventi.
STRATEGIE E BEST PRACTICE
DORA e NIS2 delineano un quadro strutturato per la gestione efficace dei rischi connessi alla supply chain, evidenziando l’importanza di avere una conoscenza approfondita dei fornitori – in particolare quelli legati all’ICT – e di imporre loro requisiti rigorosi in materia di cybersecurity. Di fatto, il DORA integra il Third Party Risk Management (TPRM) nella strategia di risk management, con obblighi specifici in termini di documentazione e di valutazione dei contratti con terze parti. La NIS2 rispecchia queste esigenze, richiedendo di considerare le vulnerabilità specifiche dei fornitori e la qualità delle loro pratiche di cybersecurity, incluse le procedure di sviluppo sicuro. Il primo passo è la valutazione dei rischi, un processo che prevede l’identificazione, l’analisi e la valutazione delle minacce associate alle tecnologie dell’informazione e della comunicazione. A questa fase segue l’implementazione di misure di mitigazione, con azioni preventive e correttive volte a ridurre al minimo le vulnerabilità individuate. Fondamentale è anche il monitoraggio continuo delle infrastrutture tecnologiche, per rilevare tempestivamente eventuali anomalie o minacce e intervenire prima che possano causare danni significativi. A ciò si affiancano procedure specifiche per la gestione degli incidenti, che garantiscono una risposta rapida ed efficace in caso di violazioni o attacchi informatici. L’altro elemento chiave è la definizione di piani di continuità operativa ICT, che non solo prevedano strategie di risposta e recupero, ma includano anche test periodici per verificarne l’efficacia. Infine, viene posta particolare attenzione alla riservatezza e all’integrità dei dati e delle comunicazioni, attraverso l’adozione di procedure e tecnologie avanzate per la protezione sia durante il trasferimento (“in transit”) sia quando sono archiviati (“at rest”).
Inoltre, le organizzazioni, per garantire la sicurezza della supply chain nei contratti con fornitori ICT, secondo quanto previsto dal DORA e dalla NIS2, devono includere clausole specifiche che stabiliscano requisiti fondamentali. Si tratta di adottare un approccio strategico e collaborativo per gestire in modo efficace le relazioni con i fornitori, adempiere agli obblighi e garantire un adeguato livello di cybersecurity. Questo aspetto è particolarmente critico, poiché molti fornitori non hanno piena consapevolezza dei requisiti normativi e spesso non adottano misure concrete per garantire la conformità. La difficoltà maggiore risiede nel mantenere standard di sicurezza uniformi per tutte le aziende, considerando che gli obblighi normativi e gli standard variano da paese a paese. A complicare ulteriormente la situazione, le organizzazioni si trovano spesso con un potere contrattuale limitato, soprattutto quando trattano con grandi fornitori di tecnologia, il che rende ancora più difficile imporre requisiti stringenti in materia di cybersecurity.
Per garantire sicurezza e resilienza nei rapporti con i fornitori, è fondamentale inserire nei contratti clausole specifiche che impongano standard elevati di cybersecurity e gestione del rischio. Un primo aspetto da considerare è il possesso di certificazioni riconosciute e l’adozione di pratiche strutturate per la gestione del rischio, elementi che attestano l’affidabilità del fornitore. A questo, si aggiunge la necessità di assicurare la piena conformità alle normative vigenti, come la NIS2 e il DORA, affinché gli obblighi regolatori siano rispettati in ogni fase della collaborazione.
Un altro punto chiave riguarda le politiche di accesso ai sistemi e ai dati, che devono essere regolamentate con criteri precisi per prevenire intrusioni o utilizzi impropri. Fondamentale è anche l’obbligo di aggiornamenti periodici dei sistemi, così da ridurre i rischi legati alle vulnerabilità conosciute. Allo stesso tempo, i fornitori devono impegnarsi a notificare tempestivamente eventuali falle di sicurezza o attacchi subiti, consentendo alle aziende di reagire con rapidità. La sicurezza non può essere un processo statico: per questo motivo, diventa determinante il monitoraggio continuo delle misure adottate, attraverso audit, test di penetrazione e valutazioni periodiche della conformità. Anche la gestione degli incidenti deve essere regolata con piani dettagliati che prevedano una stretta collaborazione tra fornitore e azienda per minimizzare i danni in caso di attacco. Non meno importante è la formazione sulla sicurezza, che dovrebbe essere estesa anche ai fornitori per aumentarne la consapevolezza sulle minacce e sulle best practice da adottare. Inoltre, nei contratti è opportuno prevedere clausole relative alla risoluzione del rapporto in caso di gravi violazioni della sicurezza.
Per rafforzare ulteriormente il controllo, è essenziale coinvolgere l’ufficio acquisti nel processo di selezione e valutazione dei fornitori, integrando parametri di conformità alle normative europee. Infine, la collaborazione tra più attori del settore può fare la differenza: l’organizzazione di tavoli di lavoro con diversi fornitori favorisce la condivisione di informazioni, la cooperazione e l’individuazione di soluzioni comuni per affrontare le sfide legate alla sicurezza informatica e alla conformità normativa.
LA CORSA ALLA CONFORMITÀ
Sia DORA che NIS2, a causa dei loro rigorosi requisiti, stanno sfidando i diversi attori della sicurezza nei settori coperti dalle loro normative. In particolare, le sfide includono: requisiti per l’identificazione e la gestione dei fornitori critici, valutazione dei rischi, e garanzia della continuità operativa. È essenziale, altresì, disporre di piani di business continuity, disaster recovery, gestione e comunicazione delle crisi efficaci ed efficienti. Tali elementi devono essere integrati in una governance strutturata, fondamentale per la resilienza cyber e operativa, seguendo un approccio risk-based e resilience-based. Inoltre, è indispensabile promuovere la collaborazione tra funzioni e operatori del settore a livello nazionale ed europeo, condurre test ed esercitazioni periodiche per valutare l’efficacia delle misure adottate, coinvolgendo i fornitori più a rischio, e garantire la formazione continua a tutti i livelli.
Le difficoltà di compliance che le organizzazioni stanno affrontando vengono messe in luce da una survey, pubblicata a settembre 2024 dalla società di ricerca americana Sans, che evidenzia le aree più critiche per le aziende impegnate nell’implementazione della NIS2. Le principali preoccupazioni emerse dal sondaggio (“NIS2 Directive Readiness: Compliance, Challenges, and Recommendation”) riguardano la catena di approvvigionamento (25%), le politiche e procedure per la gestione del rischio di sicurezza informatica (17%), la continuità operativa (14%) e la gestione degli incidenti (11%).
Il report di McKinsey “Europe’s new resilience regime: The race to get ready for DORA” offre un’analisi approfondita sullo stato di preparazione del settore finanziario europeo rispetto al nuovo regolamento sulla resilienza digitale. Basato su interviste a istituti finanziari di primo piano e a fornitori ICT critici, il documento mette in luce i progressi e le sfide che le aziende devono affrontare per adeguarsi ai requisiti di DORA.
Tra le criticità più rilevanti emerse dall’indagine, spicca la gestione del rischio delle terze parti ICT, un aspetto che sta diventando sempre più centrale per le istituzioni finanziarie. Il report evidenzia come il settore debba compiere sforzi significativi su due fronti: da un lato, garantire una supervisione capillare di tutti i fornitori ICT e dei rischi a essi connessi; dall’altro, gestire in modo proattivo il rischio digitale legato ai fornitori di servizi critici. Per affrontare questa sfida in modo efficace ed economicamente sostenibile, le principali istituzioni finanziarie devono adottare un approccio olistico e basato sul rischio. Ciò implica l’implementazione di processi strutturati e tecnologie avanzate, capaci di garantire un controllo continuo e una risposta tempestiva alle minacce informatiche. La corsa alla conformità è già iniziata e, per restare al passo, il settore deve muoversi rapidamente verso modelli di gestione sempre più resilienti e integrati.
C-LEVEL IN PRIMA LINEA
Indubbiamente, anche se ogni settore e ogni organizzazione è unico, le sfide sono comuni. A tal proposito Egidio Guarneri, application manager & business continuity manager di Prelios Credit Servicing, sottolinea come i requisiti stringenti di DORA e i continui attacchi obblighino a uno sforzo ulteriore, soprattutto in termini di selezione ed analisi dei fornitori che – spiega Guarnieri – «devono diventare sempre più partner, collaborare in modo proattivo, condividendo prontamente tutte le informazioni e le strategie di resilienza. In altre parole, i fornitori devono essere trasparenti e disposti a condividere tutte le informazioni necessarie per un efficace piano di continuità».
Nel percorso di adeguamento alla direttiva NIS2, le pubbliche amministrazioni centrali e locali si trovano di fronte a sfide concrete che vanno ben oltre l’implementazione di misure tecniche. Garantire la difesa e la resilienza delle infrastrutture critiche richiede un cambio di paradigma, che parte dal superamento di alcune criticità strutturali – come mette in evidenza Massimo Poletti, dirigente Servizio Sistemi Informativi (CIO) e responsabile per la Transizione al Digitale del Comune di Ferrara.
Uno dei principali ostacoli è la scarsa cultura della sicurezza all’interno delle PA, ora pienamente incluse nel perimetro della NIS2. La cybersecurity non può più essere considerata una questione solo tecnologica: servono nuovi modelli organizzativi che integrino la sicurezza in ogni processo decisionale e gestionale.
A complicare ulteriormente il quadro, la carenza di professionisti specializzati in cybersecurity. Le amministrazioni devono colmare questo gap, non solo potenziando le competenze interne, ma anche strutturando collaborazioni efficaci con fornitori esterni per servizi cruciali come NOC-SOC, vulnerability assessment e threat analysis. «Senza queste risorse, il rischio è di restare vulnerabili in un contesto in cui le minacce informatiche sono sempre più sofisticate e pervasive» – spiega Poletti. «L’iscrizione alla piattaforma dell’Agenzia per la cybersicurezza nazionale (ACN) può comportare, per una PA, delle difficoltà nella compilazione, considerando che la figura del CISO non è ancora diffusa all’interno dell’ecosistema. Per una PA locale, in fondo, non è difficile. Tuttavia, alcune parti del form online – pensato in maniera generalista – possono creare difficoltà. Si pensi, per esempio, al lunghissimo elenco di norme e regolamenti europei enunciati solo con le sigle. Fortunatamente, si trovano online molti tutorial che possono guidare alla registrazione in tempo utile».
La cyber resilienza di un ecosistema essenziale come quello sanitario è una sfida di importanza capitale. «La NIS2 – sottolinea Antonio Fumagalli, CIO e CISO dell’ASST Papa Giovanni XXIII Bergamo – conferma l’importanza di garantire la sicurezza dei servizi sanitari. Nel percorso verso la compliance, la sfida principale è implementare strategie e soluzioni di cybersecurity efficaci e utili. L’ascoltare e coinvolgere attivamente coloro che operano sul campo è fondamentale per il successo di ogni progetto di adesione alle normative. Solo attraverso una collaborazione stretta e mirata tra tutti gli stakeholder, possiamo raggiungere una sanità più efficiente e data-driven, indirizzata ai bisogni del paziente e pronta ad affrontare le sfide di digitalizzazione del prossimo futuro».
Anche il settore energetico rientra – considerata la sua centralità e la crescente digitalizzazione dei processi – nel perimetro della NIS2. Le infrastrutture energetiche sono diventate obiettivi sempre più appetibili per i cyber criminali che sfruttano le vulnerabilità generate dalla maggiore “convergenza” – purtroppo non sempre rigorosamente applicata – tra i sistemi IT e OT. Ne consegue che, per essere conforme ai requisiti della NIS2, è necessario implementare una gestione multi-rischio, tenendo in seria considerazione le differenze tra i sistemi IT e OT, per identificare differenti strategie e soluzioni di cybersecurity, nonché di continuità dei servizi – come spiega Gaetano Sanacore, direttore dell’Osservatorio nazionale per la cybersecurity delle reti energetiche. La direttiva NIS2 non si limita a rafforzare la sicurezza informatica dei singoli operatori, ma punta anche a proteggere l’intero ecosistema energetico europeo, sempre più interconnesso e interdipendente. La cooperazione tra operatori elettrici nazionali e internazionali diventa quindi un elemento chiave per garantire la resilienza dell’infrastruttura critica dell’UE.
«Per raggiungere una vera cyber resilience paneuropea nel settore energetico – sottolinea Sanacore – la sfida principale è la condivisione delle vulnerabilità, almeno quelle più critiche, insieme alle lesson learned e alle best practice. A questo si aggiunge la necessità di una formazione continua, sia per il Board che per il personale operativo». Oltre alla collaborazione, l’aggiornamento costante sulle evoluzioni tecnologiche e sulle minacce emergenti rappresenta un altro elemento essenziale. L’intelligenza artificiale sta trasformando il settore, ma allo stesso tempo introduce nuove superfici di attacco, rendendo fondamentale un approccio proattivo alla sicurezza. In questo contesto, la protezione dei dati diventa prioritaria, con l’adozione di soluzioni avanzate di Data loss prevention per garantire l’integrità e la riservatezza delle informazioni sensibili. La sfida è complessa, ma il messaggio è chiaro: senza una strategia condivisa e un impegno costante, la sicurezza del sistema energetico europeo rischia di rimanere esposta a minacce sempre più sofisticate e pervasive.
LA BUSSOLA PER LE IMPRESE
La direttiva DORA e il regolamento NIS2 rappresentano un avanzamento significativo nell’elevazione degli standard di cybersecurity nell’Unione Europea. Le organizzazioni soggette a queste normative devono compiere un importante cambiamento per adottare le misure necessarie a garantire un livello di sicurezza adeguato e di conformità. In sostanza, si tratta di comprendere a fondo i propri contesti interni ed esterni per individuare punti di vulnerabilità e di minacce in ambito cybersecurity, progettando strategie efficaci di gestione del rischio, di continuità operativa e di cybersecurity, oltre a una strategia di crisis management e di crisis communication, al fine di assicurare la resilienza dei nostri ecosistemi e garantirne la sostenibilità. DORA e NIS2 rappresentano la bussola che orienta le imprese e le organizzazioni verso un nuovo paradigma: prima che tecnologiche, le implicazioni sono giuridiche, culturali e strategiche, e ridefiniscono il concetto stesso di sicurezza e resilienza digitale.
