CLOUD Act e Co.: quanto sono affidabili le offerte cloud statunitensi?

L'UE ha varato una direttiva "per un elevato livello comune di sicurezza informatica". Ufficialmente è nota come "Direttiva (UE) 2022/2555" o in breve "NIS 2", in quanto è il secondo tentativo di aumentare la sicurezza delle reti e delle informazioni. Gli Stati membri dell'UE hanno tempo fino all'autunno 2024 per recepirla nel diritto nazionale. È rilevante per la Svizzera perché la direttiva include esplicitamente le catene di fornitura e le aziende partner.

Quali sono le aziende interessate?

La nuova direttiva interessa un numero di imprese dieci volte superiore rispetto alla precedente del 2016. Secondo le stime, ci sono circa 160.000 aziende in tutta Europa. Solo in Germania saranno circa 20.000.

Per esempio, il NIS 2 ha aumentato l'elenco dei settori da otto a 18. Sono classificati come "essenziali" e "importanti". Una panoramica dettagliata si trova negli Allegati I e II della direttiva sopra citata.

I settori dell'energia, dei trasporti, delle banche, delle infrastrutture dei mercati finanziari, della sanità, dell'acqua potabile, delle acque reflue, delle infrastrutture digitali, della gestione dei servizi ICT (B2B), della pubblica amministrazione e dello spazio sono quindi particolarmente importanti.

L'elenco degli "altri" settori critici comprende i servizi postali e di corriere, la gestione dei rifiuti, la produzione, la fabbricazione e il commercio di prodotti chimici, la produzione, la trasformazione e la distribuzione di prodotti alimentari, la fabbricazione/produzione di beni e i fornitori di servizi digitali.

In ogni caso, sono interessate le aziende di questi settori con più di 50 dipendenti e un fatturato annuo o un bilancio annuale superiore a 10 milioni di euro. Tuttavia, anche le aziende più piccole possono essere interessate se sono l'unico fornitore di un servizio essenziale in uno Stato membro.

Cosa devono fare queste aziende?

Gli obblighi si trovano nel capitolo IV della direttiva. Secondo l'articolo 21, le aziende interessate devono "adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza della rete e dei sistemi informativi (...) e per prevenire o ridurre al minimo l'impatto degli incidenti di sicurezza sui destinatari dei loro servizi e su altri servizi". Ciò che è considerato "proporzionato" dovrebbe dipendere dal rischio valutato, dalle possibili conseguenze e dalle dimensioni dell'operazione, tra le altre cose.

L'articolo 21 elenca anche uno standard minimo per le misure di sicurezza. Queste includono un concetto di analisi del rischio, piani per affrontare gli incidenti di sicurezza, gestione delle crisi e dei backup, concetti per valutare l'efficacia delle misure, crittografia, controllo degli accessi e autenticazione a più fattori.

Le aziende svizzere che si orientano allo standard minimo delle TIC sono già ben posizionate.

L'articolo 21, paragrafo 2, afferma inoltre esplicitamente: "la sicurezza della catena di approvvigionamento, compresi gli aspetti legati alla sicurezza dei rapporti tra le singole entità e i loro fornitori diretti o fornitori di servizi". Il paragrafo 3 afferma che le organizzazioni devono considerare "la qualità complessiva dei prodotti e delle pratiche di cybersecurity dei loro venditori e fornitori di servizi, compresa la sicurezza dei loro processi di sviluppo".

Se si verifica un incidente di sicurezza, l'azienda deve segnalarlo entro 24 ore e fornire una valutazione dettagliata all'autorità competente entro 72 ore. In caso contrario, potrebbero essere comminate sanzioni fino a 10 milioni di euro e al 2% del fatturato annuo. Anche gli amministratori delegati e i membri del consiglio di amministrazione saranno ritenuti responsabili se un'organizzazione non implementa le misure sopra citate.

Perché queste nuove regole?

È da ieri che la politica dell'UE ha riconosciuto che la crescente digitalizzazione e il collegamento in rete rappresentano una potenziale minaccia. Tuttavia, i precedenti tentativi di innalzare in modo globale gli standard di sicurezza non hanno avuto particolare successo.

Il diretto predecessore della nuova normativa è la Direttiva (UE) 2016/1148, che aveva già la stessa impostazione, ma la sua attuazione negli Stati membri è stata poco monitorata e in molti punti era meno specifica della nuova versione.

Nel frattempo, un numero ancora maggiore di processi è stato digitalizzato, automatizzato e collegato in rete. Allo stesso tempo, è aumentato il numero di attacchi tentati e riusciti alle reti di impianti industriali e istituzioni pubbliche.

Parole di chiusura

La nuova direttiva dell'UE segue in larga misura quanto già raccomandato e praticato a livello internazionale. Come già detto, la Svizzera ha raccomandazioni simili per gli "standard minimi" di sicurezza informatica aziendale, anche se non sono vincolanti.

Tuttavia, è bene che le aziende di ogni tipo siano consapevoli delle potenziali minacce e delle loro conseguenze, anche se non sono considerate parte dell'"infrastruttura critica". I cyberattacchi, come gli attacchi ransomware, possono causare danni monetari considerevoli e rovinare la reputazione di un'azienda.