Nis2, formazione per saper gestire i sistemi informatici

Cyber sicurezza, l’Europa fa l’appello e tra il 1° e il 15 aprile il portale dell’Agenzia per la Cybersicurezza Nazionale comunicherà l’inserimento in piattaforma delle aziende e degli enti pubblici che rientrano nell’elenco dei soggetti essenziali o importanti e che saranno tenuti a nominare, con un apposito atto, un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto fornendo le ulteriori informazioni richieste dalla normativa.

«Anche nel Biellese le grandi aziende si stanno già preparando. Per rientrare nell’elenco si parte da un fatturato di 10 milioni e almeno 50 dipendenti. Chi è al di sotto di questa soglia non è coinvolto dal provvedimento” spiega Gianluca Giovanardi, ceo di Inoma, società di servizi informatici e consulenza per le aziende nata a Gaglianico dalla collaborazione e dall’esperienza ventennale dei professionisti dell’Information Technology Marco Vallini e Sergio Gregori.

«Nis2 riguarda però diverse categorie di imprese. Il tessile non è coinvolto ma le aziende chimiche si, come i trasporti, le società di consulenza informatica e trasformazione alimentare. E poi le Rsa e le aziende sanitarie. Per le finanziarie e le banche l’adempimento cambia nome ma non sostanza e si chiama Dora. Adesso che la fase di iscrizione è stata superata e la risposta anche sul territorio è stata puntuale si dovrà partire con la stesura del protocollo».

Gli stati europei svolgono un ruolo cruciale nel garantire che i soggetti considerati «essenziali importanti» (dai fornitori di servizi sanitari alle banche fino alle amministrazioni pubbliche, alle aziende manifatturiere e a chi gestisce i rifiuti) adottino un approccio proattivo e sistematico alla gestione dei rischi. Un impegno si traduce in una serie di responsabilità specifiche che mirano a rafforzare la resilienza complessiva dei sistemi informatici e delle reti all’interno dell’Unione Europea. In primo luogo gli stati membri devono assicurare che i soggetti in questione dispongano di un organo di gestione che approvi formalmente le misure dei rischi Cyber adottate. e che vi sia un impegno a livello esecutivo per la loro attuazione. Parallelamente sarà essenziale la formazione degli organi di gestione e dei dipendenti non solo per aumentare la consapevolezza ma anche per migliorare la capacità di identificare, valutare e rispondere efficacemente a tali rischi.

«La formazione in azienda è fondamentale. Ce n’è bisogno anche se non intervengono leggi specifiche. Nel nostro lavoro purtroppo constatiamo che troppo spesso si tende a intervenire quando il danno è fatto. Oggi il cyber criminale è capace di studiare una vittima anche per mesi prima di sferrare l’attacco. Nel frattempo l’”osservatore” ha recuperato dati bancari, iban di fatture, e si è allargato anche a clienti e fornitori, C’è davvero poca consapevolezza di ciò che può capitare eppure l’equazione è semplice se ci vuole una patente per guidare un’auto sarebbe giusto averne una anche per gestire un sistema informatico in azienda» conclude Giovanardi,