Evoluzioni normative: ISO 27001 e NIS2
Lorenzo Distaso
Compliance Specialist Secursat
La sicurezza delle informazioni è diventata una priorità strategica per tutte le realtà italiane e dell’Unione, indipendentemente dalle dimensioni anche a valle delle recenti evoluzioni normative. Nonostante le grandi aziende possano contare su strutture dedicate e risorse significative, le organizzazioni di tutti i settori rientranti nella supply chain dei soggetti DORA - per il settore finanziario - e NIS2, hanno di fronte una sfida complessa nel garantire la protezione dei dati e la continuità operativa.
In un contesto nazionale in cui il livello di alfabetizzazione sulla cybersecurity rimane critico e in cui DDoS e ransomware minacciano ogni giorno le infrastrutture e i servizi critici del nostro Paese, Secursat – parte della catena di approvvigionamento ICT di diverse organizzazioni finanziarie e altre realtà critiche e strategiche – ha deciso di adottare un nuovo sistema di gestione secondo lo standard internazionale ISO 27001 e di censire la propria attività sul portale dell’Agenzia per la Cybersicurezza Nazionale, ai sensi dell’art. 7, d.lgs. n° 138 del 2024.
L’importanza della supply chain
Ma perchè questa strada? Prima facie riteniamo che la nostra affidabilità, come azienda capace di gestire i rischi dei nostri clienti, si basi sulla nostra reputazione e quindi abbiamo deciso di investire in tutti gli elementi che possano garantirci di stare al passo con le evoluzioni del mercato, sia sul piano normativo sia tecnologico. Il nostro livello di attenzione e di responsabilità nei confronti dei nostri clienti e del mercato resta altissimo. Le realtà per le quali offriamo servizi di sicurezza e non solo, infatti, cercano fornitori che siano sempre più conformi alle normative e capaci di consentire un alto grado di affidabilità circa la sicurezza delle informazioni.
I processi di procurement e sourcing e la ricerca di partnership esterne da parte dei grandi attori dei settori critici non possono più prescindere da una due diligence che si concentri sulle misure tecniche e organizzative di cybersicurezza messe in campo dagli interlocutori.
A tal proposito, ricordiamo, che i soggetti NIS 2, ad esempio, non sono responsabili solo della propria sicurezza informatica, ma anche di quella di fornitori e partner. L’obbligo di monitoraggio delle terze parti, introdotto dalla Direttiva e dal Regolamento DORA, si traduce in una attribuzione diretta della responsabilità al soggetto NIS – oggetto di un incidente informatico – per le violazioni occorse nella supply chain. In quanto parte della supply chain per i nostri clienti, noi di Secursat abbiamo deciso di andare incontro alle esigenze dei nostri clienti nell’affrontare queste tematiche così complesse e abbiamo messo in atto non solo azioni, ma anche costruito competenze specifiche e di compliance per affrontare le diverse sfide.
La sicurezza delle informazioni: 27001 e NIS2
Nel dettaglio, l’adozione di un sistema di gestione secondo la ISO 27001 ci ha consentito di avvicinarci a molte delle esigenze imposte dal nuovo quadro normativo. Sebbene, infatti, i requisiti e i controlli delle due non siano perfettamente sovrapponibili, i punti in comune sono molti. Il “supporto” alla NIS 2 si manifesta nell’adozione di un approccio basato sul rischio, ove rientrano – tra le altre – le seguenti misure: valutazione dei rischi alla sicurezza delle informazioni, analisi del contesto, monitoraggio e gestione degli accessi ai sistemi informativi, gestione delle vulnerabilità, strumenti tecnici per la protezione della rete, business continuity e disaster recovery. Secursat ha deciso di fare propria la checklist degli obblighi di base pubblicata per i soggetti NIS, e di condurre un assessment interno per valutare il livello di conformità. Il risultato è che, rispetto a tali obblighi, la conformità di Secursat è ad oggi del 90%, sintomo che la direzione dell’azienda è giusta, ma occorre continuare a lavorare, sia in ottica di compliance sia di protezione effettiva di reti, sistemi e informazioni.
Questa, insieme ad importanti investimenti per stare al passo con l’evoluzione tecnologica, soprattutto dell’architettura complessiva su cui si basa l'azienda, e sull’utilizzo dei dati in modo strategico e predittivo, è la strada che Secursat sta percorrendo per confermare l’idea che la sicurezza, se approcciata in modo olistico e innovativo, può essere il perno attorno al quale ruotare non solo la protezione del business ma anche l’efficacia e l’efficienza dei processi operativi.
