“Oltre la sicurezza, la sfida è organizzativa. Dora e NIS2 aprono la strada a un nuovo concetto di Governance”: è questo il titolo di un workshop organizzato nei giorni scorsi da Kyndryl con l’obiettivo di comprendere come imprese dei settori bancario, assicurativo, manifatturiero, società di servizi e amministrazioni si stiano preparando in vista della prossima entrata in vigore di due importanti quadri normativi europei in materia di sicurezza e governance: il Regolamento DORA e la Direttiva NIS2. Una vera e propria sfida che non può essere affrontata semplicemente ottemperando a quanto previsto dai diversi RTS (regulatory technical standards) inclusi in ciascun regolamento, ma che richiede un importante ripensamento organizzativo e di Governance all’interno di ciascuna realtà.
Gabriele Faggioli: lavorare su economie di scala e approcci comuni
In apertura dell’incontro, Gabriele Faggioli, CEO Digital360 e P4I e Presidente del Clusit, ha proposto una riflessione sullo scenario nel quale i due regolamenti vanno a inserirsi.
Uno scenario non certo semplice, sia per il quadro geopolitico internazionale che ha visto nel tempo crescere il numero degli attacchi cyber così come il loro livello di gravità, sia per la specifica situazione italiana. È vero, riconosce Faggioli, che alcuni settori, in particolare quelli bancari, finanziari e assicurativi, rispondono meglio all’aumento delle minacce, in ragione di una più puntuale ottemperanza a quanto previsto da normative rigorose in materia di sicurezza e protezione di dati e asse, tuttavia sono ancora molti i settori che non sembrano percepire la necessità di investire adeguatamente in questo ambito.
La situazione nel nostro Paese è particolarmente critica, con un investimento in sicurezza informatica che rappresenta solo lo 0,1% del PIL, molto inferiore rispetto alla media. E nonostante la maggiore consapevolezza delle grandi imprese sulla necessità di investire in sicurezza, l’approccio attuale non sembra adeguato a invertire la tendenza. L’approccio normativo attuale, ha spiegato Faggioli, si basa sull’idea che ogni azienda debba organizzarsi per difendersi autonomamente: è un modello non sostenibile, soprattutto in un Paese come l’Italia, basato su piccole e medie imprese con risorse limitate. Serve o servirebbe un cambio di prospettiva.
La normativa, è il suggerimento del Presidente del Clusit, dovrebbe incentivare un modello basato sull’economia di scala, con difese comuni piuttosto che individuali. Analogamente, sarebbe il momento di pensare a una lista di prodotti e soluzioni approvati o qualificati – con una sorta di validazione di tutte le componenti di sicurezza – che valga per tutte le imprese che li adotteranno, senza obbligare la singola azienda a sottoporre a un processo di autorizzazione prodotti o soluzioni giù autorizzati per altre realtà. Nonostante, dunque, un certo pessimismo, per Gabriele Faggioli resta positivo il fatto che in alcuni settori, in particolare i mondi bancari e assicurativi, stia emergendo un interesse piuttosto marcato proprio sui temi delle economie di scala per un approccio comune alla sicurezza.
Maria Cristina Daga: serve una nuova consapevolezza sui rischi e un nuovo ingaggio delle figure di business
Tocca invece a Maria Cristina Daga, Partner di P4I – Partners4Innovation, portare il focus sui due regolamenti oggetto dell’analisi: DORA (Digital Operational Resilience Act) e NIS2 (Network and Information Security Directive 2). Daga sottolinea come sia cambiato nel tempo l’approccio dell’Unione Europea alla cybersecurity, il cui perimetro oggi viene esteso all’ecosistema globale dell’impresa, coinvolgendo in termini di responsabilità anche e soprattutto le figure di business e i CEO. In questa evoluzione dell’approccio, le aziende devono capire le proprie priorità, per proteggere al meglio gli asset più importanti, strategici e critici e adottando una strategia di difesa con azioni precise: pianificazione, monitoraggio, risposta rapida agli attacchi. Il tutto condividendo le informazioni di intelligence anche attraverso partnership pubblico/private e la partecipazione a tavoli di lavoro di settore.
In questo contesto e in sintesi estrema, il regolamento DORA, indirizzato specificamente al mondo finanziario e alle sue terze parti, si concentra sulla gestione del rischio informatico. Questo regolamento introduce l’obbligo di definire un quadro sulla resilienza operativa digitale per garantire che le imprese finanziarie rispondano e si riprendano da tutti i tipi di disservizi ICT e Cyber in modo tempestivo e appropriato. Richiede di fatto una valutazione dei rischi ICT verificando i livelli di tolleranza al rischio attraverso programmi di test di resilienza digitale e regola gli impatti della governance di un modello di gestione delle esternalizzazioni. Questo significa che le aziende devono valutare e monitorare continuamente i loro sistemi informatici per identificare eventuali rischi o vulnerabilità.
A sua volta, la direttiva NIS2 riguarda in senso più generale la sicurezza delle reti e delle informazioni. Questa direttiva stabilisce misure per garantire un alto livello comune di sicurezza delle reti e dei sistemi di informazione in tutta l’Unione europea. Uno dei punti salienti legati all’adeguamento alle nuove normative riguarda la gestione del rischio derivante da terze parti: le aziende devono rivedere i propri modelli di gestione delle esternalizzazioni, con un cambio organizzativo significativo.
Parimenti, tutt’altro che irrilevante è la richiesta di introdurre una funzione di controllo dei rischi informatici all’interno delle aziende. Questa funzione deve essere separata dalle funzioni operative e richiede un monitoraggio sia del rischio informatico sia degli accordi di esternalizzazione e dunque potrebbe rappresentare una sfida in termini di costi e competenze.
Di fatto, queste normative portano a un nuovo livello la responsabilizzazione degli organi di vertice delle aziende, ai quali si chiede una nuova consapevolezza rispetto ai rischi.
Federico Botti: una nuova offerta di servizi e soluzioni che mappano DORA
A sua volta, Federico Botti, Vice President Security and Resiliency Practice di Kyndryl, evidenzia come l’azienda, nei due anni di attività dopo la separazione da IBM, ha effettuato importanti investimenti proprio negli ambiti della sicurezza informatica e resilienza, combinandoli con le sue storiche competenze sul fronte del disaster recovery. Tutto questo nella piena consapevolezza di quanto sia importante e necessario oggi adeguarsi alle mutevoli condizioni di rischio e alle normative in continua evoluzione.
Ed è proprio in risposta alla crescita dei rischi e alla complessità del contesto normativo, spiega Botti, che Kyndryl ha sviluppato un portafoglio completo di servizi e soluzioni che rispondono puntualmente ai nuovi bisogni: Security Assurance Services, Zero Trust Services, SOC Response Services, Incident Recovery Services. Ma c’è di più. Kyndryl ha effettuato una mappatura dei requisiti chiave del DORA (Digital Operational Resilience Act), sviluppando un’offerta di servizi che li mappino con precisione e supportando tutte quelle realtà che si sentono poco preparate a fronteggiare i rischi.
Il confronto: la gestione delle terze parti fa paura
Durante il workshop, i partecipanti si sono confrontati proprio sulle evidenze messe in luce da Gabriele Faggioli, Maria Cristina Daga e Federico Botti. Per quanto riguarda gli ambiti specifici del DORA, è emersa una generale consapevolezza rispetto al nuovo ruolo della funzione di controllo dei rischi ICT, anche se in generale si è lavorato maggiormente sulla sensibilizzazione del top management più che sull’effettiva “costruzione” della nuova funzione.
In merito alla gestione dei rischi ICT appare chiaro che vi sia allo stato un certo divario tra quanto previsto da DORA e la “readiness” delle organizzazione, in particolare per quanto attiene alla definizione di processi e strumenti per la gestione dei flussi informativi e dei piani di comunicazione delle crisi. Se in genere è emersa la necessità di definire meglio i presidi organizzativi anche in relazione ai necessari scambi di informazioni tra le autorità competenti, l’area sulla quale si sono evidenziate le maggiori criticità è quella della gestione delle terze parti. Qui emergono chiaramente preoccupazioni riguardo al risk assessment dei fornitori ICT e al monitoraggio delle terze parti.
In ambito NIS, invece, risulta sempre una maggiore consapevolezza, anche se emerge una certa immaturità rispetto alla messa in campo di azioni formative specifiche per i membri dell’organo di gestione. In questo caso, se sembrano emergere livelli di maturità più soddisfacenti in materia di adozione e implementazione di politiche, procedure e regolamenti di sicurezza, emerge qualche criticità o preoccupazione sia sull’adozione di approcci risk-based per la definizione delle misure di gestione dei rischi, sia sulla possibilità di integrare le misure di gestione dei rischi ICT con quelle dei sistemi industriali e di produzione. Ed è forse su questo punto che si innesta la ridotta maturità che emerge sulle tematiche di continuità operativa. Anche in questo caso, la gestione delle terze parti è l’ambito dal quale emergono le maggiori criticità che spingono le aziende a pensare alla possibilità di introdurre clausole di sicurezza specifiche nei contratti con i fornitori, non solo quelli ICT.
Articolo originariamente pubblicato il 23 Ott 2023