Cybersecurity, la direttiva Nis 2, la sicurezza nazionale e la falla delle Pmi

L’isola danese di Bornholm si trova nel Mar Baltico, vicino ai gasdotti di Nord Stream. Il 10 ottobre è rimasta senza energia elettrica. Quarantamila persone al buio. La causa dell’interruzione, probabilmente una falla nel cavo che collega l’isola alla Svezia, non è stata subito chiara. Qualche settimana prima dal Parlamento europeo era stato lanciata l’ipotesi che l’attacco al gasdotto facesse parte di un piano russo più ampio per sabotare le connessioni sottomarine occidentali sollevando così ancora una volta l’urgenza di un piano europeo per la difesa delle infrastrutture strategiche. Piano che, in realtà e in parte, c’è già. A maggio scorso è stata aggiornata la direttiva Network Information Systems (Nis2).

La Comunità europea ha insomma ampliato i criteri della direttiva Nis1, che già prevedeva un miglioramento della security e della sua gestione nei Paesi membri e che aveva un focus importante sulle infrastrutture critiche. L’aggiornamento del Nis ha esteso le direttive relative alla security anche alle medie e grandi imprese che possono avere a che fare con il sistema Paese o che operano in mercati critici. Per esempio, viene eliminata la distinzione tra fornitori di servizi essenziali e fornitori di servizi digitali. Risultato? Le piccole aziende sono escluse dal campo di applicazione della direttiva, almeno che non indichino un ruolo chiave nella fornitura di servizi essenziali all’interno dell’Unione oppure operino in particolari settori o tipi di servizi, come nel caso della Pubblica amministrazione, in quanto coperti automaticamente dalla direttiva, indipendentemente dalle loro dimensioni.

In Italia l’ampliamento di questa direttiva riguarda quindi quasi tutte le grandi aziende produttive. Ai singoli governi, poi, è stata lasciata libertà sulle procedure di security che devono adottare le aziende che si occupano di aspetti più business o di servizi. In questo modo si è creato un punto debole nel sistema però, perché gli attacchi cybercriminali si sono così rivolti alla supply chain e coinvolgono ora terze parti e fornitori che non sono adeguatamente protetti. «Così - spiega Gastone Nencini, country manager di Trend Micro Italia - l’attacco riesce a penetrare le infrastrutture e arriva poi a colpire l’obiettivo finale, che può essere un’azienda produttiva che segue la direttiva Nis2». Per ovviare a questa criticità, suggerisce l’esperto di cybersecurity il Governo italiano dovrebbe dare delle linee guida specifiche in materia di cybersecurity e di utilizzo delle nuove tecnologie anche per le piccole imprese. «Per proteggere adeguatamente il sistema Paese è molto importante un coordinamento a livello centrale e un dialogo continuo tra istituzioni, aziende e fornitori di cybersecurity».

Come dire, se ci parliamo tutti, e in modo ordinato, è meglio per tutti.

CONSIGLI24

I migliori consigli su prodotti di tecnologia, moda, casa, cucina e tempo libero

Scopri di più

Libri

Intelligenza artificiale

Scopri di più