Un campo minato per la regolamentazione della sicurezza informatica: Cosa serve ai CISO nel 2025

Il panorama normativo della cybersecurity si è trasformato in una rete sempre più complessa di requisiti di conformità che le organizzazioni non possono più permettersi di ignorare. Man mano che le aziende abbracciano il cloud computing, le soluzioni basate sull'intelligenza artificiale e le tecnologie dell'Internet of Things, si trovano contemporaneamente ad affrontare rischi sempre più elevati di violazione dei dati e un maggiore controllo da parte degli enti normativi di tutto il mondo. La moderna cybersecurity va ben oltre la difesa dei sistemi dagli attacchi online: ora comprende il rigoroso rispetto di quadri normativi in evoluzione, progettati per proteggere i dati sensibili, garantire la responsabilità organizzativa e creare solide infrastrutture di sicurezza.

La mancata conformità alle normative sulla cybersecurity comporta gravi conseguenze, tra cui ingenti sanzioni finanziarie e ramificazioni legali che possono minacciare la continuità aziendale. Le organizzazioni devono navigare in questo campo minato dalle normative per mantenere la fiducia dei clienti, proteggere la propria reputazione e ridurre i rischi associati alle violazioni dei dati. Per i Chief Information Officer, i Chief Information Security Officer e i professionisti della sicurezza, la comprensione e l'implementazione di questi requisiti di conformità sono diventati fondamentali per il successo dell'organizzazione.

L'Unione Europea rafforza il Cybersecurity Framework

L'Unione Europea ha introdotto diversi quadri normativi completi che hanno un impatto significativo sull'approccio delle organizzazioni alla cybersecurity. La direttiva NIS2, acronimo di Network and Information Security Directive, rappresenta una versione aggiornata e ampliata della direttiva NIS originale, specificamente progettata per superare le carenze del suo predecessore. Gli Stati membri dovevano adottare questa direttiva come legge nazionale entro il 17 ottobre 2024, segnando una pietra miliare nella regolamentazione europea della sicurezza informatica.

La NIS2 impone agli operatori delle infrastrutture critiche e dei servizi essenziali in tutta l'UE di attuare misure di sicurezza adeguate e di segnalare qualsiasi incidente di sicurezza informatica per migliorare la sicurezza dei sistemi di rete e di informazione. La direttiva copre un numero sostanzialmente maggiore di settori che rappresentano aree vitali della società rispetto al quadro originario. Le sue quattro aree di requisiti primari -gestione del rischio, responsabilità aziendale, obblighi di segnalazione e continuità operativa - impongono standard più severi rispetto alla NIS1. Le organizzazioni che non soddisfano questi requisiti rischiano multe significative e potenziali conseguenze legali.

Il Digital Operational Resilience Act, comunemente noto come DORA, è entrato in vigore il 17 gennaio 2025 e si rivolge principalmente alle istituzioni finanziarie. Prima dell'entrata in vigore del DORA, non esisteva una metodologia uniforme per affrontare i problemi legati alle tecnologie dell'informazione e della comunicazione, siano essi dovuti a cyberattacchi o a guasti tecnici. La normativa impone ora alle istituzioni finanziarie, tra cui banche, compagnie assicurative e banche d'investimento, di aderire a linee guida rigorose che garantiscano la capacità di resistere, rispondere e riprendersi da interruzioni operative significative, prevenendo e riducendo al contempo i cyberattacchi.

Il Cyber Resilience Act affronta la realtà che sia l'hardware che il software sono diventati obiettivi primari di attività malevole. Questo regolamento si applica ai produttori, agli importatori e ai distributori di prodotti con elementi digitali, garantendo la sicurezza informatica durante l'intero ciclo di vita del prodotto. Introduce requisiti obbligatori di cybersecurity che regolano la pianificazione, la progettazione, lo sviluppo e la manutenzione di tali prodotti. I regolamenti del CRA per la segnalazione degli incidenti di cybersecurity inizieranno l'11 settembre 2026, mentre tutti gli altri requisiti saranno implementati entro l'11 dicembre 2027. Prodotti come i dispositivi medici e le automobili, che dispongono di norme di sicurezza proprie, sono esentati da questo quadro normativo.

L'intelligenza artificiale è sottoposta a un controllo normativo

La legge dell'UE sull'intelligenza artificiale si concentra principalmente sulla regolamentazione dell'IA, ma ha implicazioni significative per le pratiche di cybersecurity. La legge richiede che i sistemi di intelligenza artificiale ad alto rischio siano progettati e sviluppati per raggiungere livelli adeguati di accuratezza, robustezza e sicurezza informatica, mantenendo queste qualità per tutto il loro ciclo di vita. La Commissione europea misurerà e valuterà questi livelli di prestazione per garantire la conformità.

I sistemi di IA ad alto rischio devono evitare risultati distorti e devono essere protetti dalla manipolazione da parte di soggetti non autorizzati. Questo regolamento entrerà in vigore il 2 agosto 2026, dando alle organizzazioni il tempo necessario per preparare i loro sistemi di IA alla conformità. L'intersezione tra l'IA e la normativa sulla cybersecurity riflette il crescente riconoscimento che i sistemi di intelligenza artificiale presentano sfide di sicurezza uniche che richiedono una supervisione specializzata.

Il Regno Unito avanza nella legislazione sulla difesa informatica

Il Cyber Security and Resilience Bill del Regno Unito mira a migliorare le difese informatiche della nazione e a garantire la sicurezza delle infrastrutture critiche vitali su cui si basano le aziende di servizi digitali. Questa legge imporrà l'implementazione di forti misure di sicurezza informatica e richiederà la segnalazione di incidenti al governo per migliorare la raccolta di dati sugli attacchi informatici. Il governo ha annunciato nel luglio 2024 che avrebbe presentato questa legge durante l'attuale sessione parlamentare, con la pubblicazione dei dettagli nell'aprile 2025 e l'introduzione formale in Parlamento prevista per la fine del 2025.

Gli Stati Uniti migliorano la segnalazione delle infrastrutture critiche

Il Cyber Incident Reporting for Critical Infrastructure Act, noto come CIRCIA, è una legge degli Stati Uniti che mira a migliorare la sicurezza informatica della nazione ottenendo informazioni migliori e più rapide sugli attacchi informatici. La legge obbliga le organizzazioni critiche a notificare alla Cybersecurity and Infrastructure Security Agency ogni volta che subiscono un attacco informatico o pagano un riscatto, fornendo alle autorità un quadro più chiaro del panorama delle minacce informatiche. Gli obblighi di notifica dovrebbero entrare in vigore nel 2026, dopo la pubblicazione delle norme definitive nel 2025, dando alle organizzazioni il tempo di stabilire meccanismi di notifica adeguati.

L'India istituisce un quadro per la protezione dei dati

L'India ha compiuto passi significativi per migliorare la protezione dei dati e della privacy attraverso il Digital Personal Data Protection Act. Le regole del DPDP, che rientrano nel Digital Personal Data Protection Act del 2023, rappresentano un progresso significativo per l'India nel campo della cybersecurity. Questa legge prevede la nomina di un responsabile della protezione dei dati per le organizzazioni che trattano dati personali. I Chief Information Security Officer dovranno lavorare a stretto contatto con i Data Protection Officer per allineare le strategie di cybersecurity con i requisiti di protezione dei dati, creando un approccio unificato alla sicurezza delle informazioni e alla privacy.

Preparazione strategica alla conformità normativa

I Chief Information Officer e i Chief Information Security Officer devono adottare un approccio proattivo per affrontare l'ampia portata dei requisiti di conformità normativa nel 2025. I responsabili della sicurezza possono aiutare le loro organizzazioni a rimanere al passo con le sfide della conformità mantenendo l'accesso alle più recenti procedure di cybersecurity basate sui cambiamenti dei quadri normativi. Ciò richiede un monitoraggio continuo degli sviluppi normativi e la comprensione dell'impatto dei nuovi requisiti sui programmi di sicurezza esistenti.

Comprendere le implicazioni organizzative dei quadri normativi richiede una stretta collaborazione con il personale interno di diversi reparti. I team legali, di conformità, finanziari e operativi devono lavorare insieme per garantire una comprensione completa dei requisiti normativi e della loro attuazione pratica. Inoltre, la collaborazione con consulenti esterni o legali per la consulenza normativa fornisce un'esperienza preziosa per navigare in un panorama di conformità complesso.

La comunicazione rappresenta una componente critica della preparazione alle normative. Mantenere i team e gli stakeholder informati sugli effetti delle modifiche normative assicura che tutti comprendano i propri ruoli e le proprie responsabilità nel mantenimento della conformità. Ciò include sessioni di formazione regolari, documentazione aggiornata e procedure di escalation chiare per i problemi legati alla conformità.

La comprensione della posizione attuale dell'azienda è essenziale per una gestione efficace della conformità. Le organizzazioni devono condurre valutazioni approfondite per identificare le lacune tra le pratiche di sicurezza attuali e i requisiti normativi. Queste valutazioni costituiscono la base per lo sviluppo di roadmap complete per la conformità, che diano priorità alle iniziative in base alla valutazione del rischio, alla disponibilità di risorse e alle scadenze normative.

I responsabili della sicurezza possono aiutare le loro organizzazioni ad affrontare le sfide della conformità mantenendo l'accesso alle procedure di cybersecurity più recenti e assicurando che le soluzioni antivirus siano distribuite e aggiornate correttamente in conformità con i quadri normativi.

I responsabili della sicurezza dovrebbero anche stabilire dei quadri di riferimento per il monitoraggio continuo della conformità, piuttosto che trattare l'adesione alle normative come un progetto una tantum. I meccanismi di valutazione continua aiutano le organizzazioni a identificare le lacune emergenti in termini di conformità prima che diventino problemi critici, consentendo di porre rimedio in modo proattivo anziché gestire le crisi in modo reattivo.

Il panorama normativo continuerà a evolversi con l'avanzare delle minacce informatiche e la risposta dei governi con quadri normativi aggiornati. Le organizzazioni che investono in programmi di conformità flessibili e adattivi si posizionano in modo più efficace rispetto a quelle che mantengono approcci rigidi e minimalisti incentrati esclusivamente sui requisiti attuali. Creare capacità di conformità che vadano al di là degli obblighi immediati crea resilienza nei confronti di future espansioni normative, rafforzando al contempo la postura di sicurezza complessiva.

Fonte: https://www.cyberdefensemagazine.com/cybersecurity-is-now-a-regulatory-minefield-what-cisos-must-know-in-2025