La Direttiva Nis2 dell’Unione Europea, in arrivo nell’ottobre 2024, stabilisce nuove regole riguardanti la sicurezza delle supply chain delle infrastrutture ritenute critiche o importanti. Si apre una nuova era per queste organizzazioni e i loro rapporti con i fornitori.
Supply chain e Nis2, lo scenario
Entro il 2024, è imperativo che la sicurezza della supply chain venga elevata a priorità. Vi è un consenso tra gli enti governativi e gli specialisti del settore sulla necessità di dedicare un’attenzione maggiore alla supply chain. È essenziale che le organizzazioni comprendano appieno le conseguenze negative di eventuali vulnerabilità nella sicurezza della supply chain e sviluppino strategie efficaci per migliorarne la protezione. Inoltre, è fondamentale garantire una diffusa consapevolezza dei rischi associati, in particolare per quanto riguarda le infrastrutture critiche o importanti.
Si ritiene che, secondo quanto affermato recentemente da Mark Ostrowski – Responsabile dell’Ingegneria per gli Stati Uniti, zona est, di Check Point – nel 2024 assisteremo ad attacchi di elevata sofisticatezza e impatto scaturiti dall’impiego dell’Intelligenza artificiale (IA) e dal Machine Learning (ML) in grado di causare violazioni dei dati su larga scala. Basti ricordare quanto accaduto lo scorso giugno 2023 con l’attacco alla supply chain del software MOVEit che ha colpito oltre 130 organizzazioni in tutto il mondo, tra cui Shell, Siemens Energy, Schneider Electric, UCLA, Sony, EY, Aer Lingus, PwC, Cognizant e AbbVie, nonché gli studi legali Kirkland & Ellis e K&L Gates. Inoltre, gli esperti del settore ritengono che ci troveremo a gestire cybercriminali che utilizzeranno sempre più vulnerabilità zero-day e tecniche di phishing per orchestrare attacchi sofisticati alla supply chain.
Impatto degli attacchi cyber alla supply chain
Come già menzionato, l’impatto degli attacchi alla supply chain può essere vasto e avere conseguenze significative. In particolare, la compromissione delle infrastrutture critiche può impedire ai cittadini di una nazione di lavorare, frequentare istituzioni educative o accedere alle risorse necessarie per la sopravvivenza.
L’attacco al Colonial Pipeline del 2021 – che ha causato un panico diffuso riguardante le risorse energetiche e messo a rischio aziende e individui – è diventato un esempio emblematico degli attacchi alle infrastrutture critiche e delle relative conseguenze sulla supply chain, evidenziando l’urgenza di affrontarne proattivamente la sicurezza.
Inoltre, gli attacchi che compromettono le infrastrutture critiche costituiscono una minaccia diretta alla sicurezza nazionale, rendendo una nazione suscettibile a un vasto spettro di aggressioni, sia nel dominio cibernetico sia in quello fisico.
Supply chain e Nis2, cosa cambia
La NIS2, all’interno dell’Unione Europea, prevede specifiche normative concernenti la sicurezza della supply chain. Di fatto, la Nis2 è stata progettata principalmente per proteggere le infrastrutture critiche e, nel medio e lungo termine, si ritiene interesserà tutte le aziende che operano in Europa. Inizialmente, però, si applicherà principalmente agli operatori di infrastrutture critiche (essenziali), e organizzazioni vitali (importanti) per il corretto funzionamento dei sistemi economico, legale e sanitario. Di seguito la definizione delle organizzazioni oggetto delle NIS2 e, precisamente:
- Infrastrutture essenziali – Si identificano in grandi imprese attive nei settori dell’energia, dei trasporti, bancario, finanziario, sanitario, della gestione delle acque (sia potabili che reflue), delle infrastrutture digitali, della fornitura di servizi ICT in ambito business-to-business (B2B), aerospaziale e della pubblica amministrazione.
- Infrastrutture importanti – Si articolano in sette categorie principali: servizi postali e di corriere, gestione dei rifiuti, settore chimico, industria alimentare, settore manifatturiero, servizi digitali e istituti di ricerca.
Entro ottobre 2024, tutti gli Stati membri dell’Unione Europea dovranno aver recepito i requisiti della Direttiva Nis2 nel loro ordinamento giuridico nazionale, obbligando le organizzazioni interessate a adottare adeguate misure di sicurezza da tale data in poi. Va considerato che l’implementazione di progetti per il rafforzamento della cybersecurity può richiedere tempi significativi, spesso prolungandosi per anni. Attualmente, numerose organizzazioni non sono dotate di un adeguato sistema di gestione della cybersecurity, non raccolgono dati critici per gli indicatori di performance né effettuano audit di sicurezza. Aspetti che assumeranno sempre più un’importanza cruciale in futuro. Pertanto, si raccomanda alle organizzazioni interessate di iniziare immediatamente a prendere seriamente in considerazione l’allineamento ai requisiti della Nis2.
Va enfatizzato, inoltre, che le organizzazioni che trascurano di conformarsi ai dettami della Nis2 rischiano di compromettere le proprie relazioni commerciali. La Direttiva Nis2 sottolinea, infatti, che le misure di sicurezza devono essere estese non solo all’entità stessa, ma anche ai suoi fornitori e subappaltatori che giocano un ruolo essenziale nel garantire l’operatività e la resilienza dell’azienda.
Di conseguenza, qualora un fornitore presenti lacune significative che influenzano la supply chain, l’ente soggetto alla Nis2 sarà costretto a sostituirlo per preservare la sua resilienza operativa.
Inoltre, molte aziende decideranno di interrompere le relazioni con quei fornitori che non dimostrano di poter garantire un adeguato livello di protezione contro gli attacchi informatici.
È doveroso evidenziare che la Direttiva Nis2 estende la sua applicabilità a un numero considerevolmente maggiore di aziende rispetto alle disposizioni attualmente in vigore con la Nis, oltre ad un cambiamento significativo anche per quanto riguarda le dimensioni delle imprese coinvolte, includendo medie e grandi aziende che impiegano 50 o più lavoratori o che registrano un fatturato di almeno 10 milioni di euro, senza distinzione basata sulle prestazioni o sulla struttura organizzativa.
Sanzioni
Il mancato rispetto delle direttive e degli obblighi di segnalazione imposti dalla Direttiva NIS2 comporta l’applicazione di rigide sanzioni. Le aziende che non si adeguano alle disposizioni possono incorrere in multe che possono raggiungere i 10 milioni di euro o il 2% del fatturato globale. Questa misura evidenzia l’alto grado di importanza che l’Unione Europea assegna alla cybersecurity, paragonabile a quella riservata alla tutela dei dati personali.
La Direttiva NIS2, pur introducendo rigide sanzioni e ampliando i requisiti di conformità, rappresenta un notevole passo avanti. Infatti, obbligando le organizzazioni a integrare la cybersecurity nelle strategie operative, consente di mitigare efficacemente le minacce provenienti dal cyberspazio. In prospettiva, questo approccio, non solo rafforza la sicurezza digitale, ma offre anche alle organizzazione l’opportunità di beneficiare a lungo termine di un ecosistema digitale più protetto e resiliente.
Come garantire la resilienza aziendale
La Direttiva Nis2 supera la mera aspirazione alla prevenzione degli attacchi informatici, un traguardo che si rivela progressivamente utopico di fronte all’aumento degli attacchi e all’evoluzione della sofisticatezza dei cybercriminali. L’essenza della Nis2 risiede nel potenziamento della resilienza aziendale; ciò significa che le organizzazioni devono essere preparate, non solo a resistere agli assalti informatici, ma anche a ripristinare celermente le proprie funzioni, minimizzando gli impatti degli attacchi. In sostanza, l’obiettivo è garantire che gli attacchi informatici, anche quando riescono a penetrare le difese, non abbiano la capacità di compromettere in modo significativo le attività aziendali o governative sul lungo termine. Pertanto, se un’organizzazione si dimostra incapace di offrire tali garanzie, si troverà inevitabilmente esclusa dalla supply chain.
Ne consegue che il top management dovrà riflettere su tre questioni fondamentali, ovvero:
- Quando avverrà il prossimo attacco informatico.
- Quanto l’organizzazione è sufficientemente resistente e resiliente da poter continuare a operare.
- Quanto l’organizzazione sia adeguatamente preparata ad affrontare gli attacchi informatici.
Si tratta, di fatto, di anticipare l’imprevedibile certezza del rischio cyber e strutturarsi adeguatamente.
Supply chain e Nis2, consigli per prepararsi
Le organizzazioni interessate, per essere conformi alla Direttiva Nis2, dovranno essere in grado di adottare una risposta proattiva che implica l’adozione di un approccio strutturato e, soprattutto, uno sforzo di preparazione continuo per assicurare che gli attacchi informatici non incidano gravemente sull’operatività aziendale. A tal fine, è essenziale che tali organizzazioni valutino attentamente almeno i seguenti aspetti:
- Identificazione degli asset e delle risorse aziendali, comprensione della proprietà, valutazione dei rischi associati e identificazione delle vulnerabilità.
- Identificazione dei potenziali bersagli degli hacker all’interno dell’azienda.
- Implementazione di sistemi di Identity & Access Management.
- Definizione delle modalità e dei luoghi di archiviazione dei dati, nonché delle persone autorizzate al loro utilizzo.
- Restrizione dell’accesso agli utenti ai soli dati necessari, con la conservazione di tutti gli altri dati in ambienti protetti.
- Valutazione critica dell’opportunità di migrare le informazioni aziendali sul cloud.
- Definizione delle procedure e piani di Emergency, Disaster Recovery, Business Continuity Crisis Management, Crisis Communication (che devono sempre essere testati, esercitati e aggiornati) da attuare in caso di attacco informatico 24 ore su 24, 7 giorni su 7.
- Analisi dettagliata degli incidenti di sicurezza.
- Identificazione di partner in grado di fornire supporto tempestivo in situazioni di emergenza.
- Esplorazione di collaborazioni con altre aziende per soddisfare collettivamente i requisiti imposti dalla direttiva.
A fronte di quanto sopra, è quanto mai fondamentale valutare con celerità il livello di maturità informatica di un’organizzazione e procedere alla pianificazione delle strategie di sicurezza e delle capacità di risposta in modo da garantirne una protezione efficace contro gli attacchi informatici e facilitare le lessons learned scaturite da eventuali incidenti pregressi. Ovvero, nell’implementare la Direttiva Nis2, si tratta di adottare un approccio risk-based e resilience-based per garantire la necessaria cyber resilience della supply chain quale intersezione dei principi di Risk Management, Business Continuity e Cybersecurity.
