In una recente ricerca Kaspersky sottolinea come i vertici aziendali non siano ancora pronti a recepire le prossime normative in materia di cybersecurity. A partire dal 2024, nell’Unione Europea (UE) entreranno in vigore una serie di normative in materia di cybersecurity. Garantiranno sicurezza digitale, protezione e integrità di tutto, dalle automobili alle reti infrastrutturali fino alle supply chain. Il report però rivela che i leader aziendali potrebbero non essere preparati a WP.29, la NIS2, l’EU Resilience Act e la prossima EU Supply Chain Directive.
Aumentare la sicurezza informatica
Secondo il report, poche le aziende che hanno implementato misure di protezione digitale per l’uso dell’IA. Preoccupante anche il fatto che solo il 22% abbia preso in considerazione la possibilità di regolamentarne l’uso. Una situazione simile esiste per il WP.29, anche se il 23% ha già sviluppato dei piani, non ha iniziato ad attuarli né li ha ancora realizzati. L’UE e i suoi Stati membri stanno lavorando duramente per aumentare la sicurezza informatica.
Stare al passo con l’evoluzione delle minacce
Il WP.29 regolamenta una serie di standard informatici comuni per l’iperconnettività automobilistica. Obiettivo quello di ottimizzare i sistemi di cybersecurity che gestiscono tutti i rischi legati all’IT per i nuovi veicoli. Inoltre, le nuove norme di cybersecurity NIS2, che saranno probabilmente applicate a partire da ottobre 2024, modernizzano il quadro giuridico esistente per i settori delle infrastrutture critiche dell’UE come l’energia, l’acqua, le telecomunicazioni, i trasporti, i servizi finanziari, la sanità e i servizi digitali.
I vertici aziendali e nuove regole
Permettendo così di tenere il passo con l’aumento della digitalizzazione e con l’evoluzione del panorama delle minacce alla cybersecurity. Per rafforzare la sicurezza IT e digitale di banche, compagnie di assicurazione, società di investimento nell’UE, l’UE Resilience Act garantisce la loro capacità di recupero in caso di gravi interruzioni operative. L’EU Supply Chain Directive garantisce la due diligence ambientale e dei diritti umani di tutte le grandi imprese che operano nell’UE e nelle loro catene di valore globali.
Alcune criticità
Anche se buona parte della legislazione è già in vigore, o lo sarà presto, la ricerca ha rivelato che, nonostante i leader aziendali siano consapevoli dei pericoli, la maggior parte ignora la complessità delle minacce informatiche. E ne sottovaluta la capacità di raggiungere gli obiettivi. Questo, unito a uno stanziamento poco chiaro delle risorse, costringe molti dirigenti aziendali a confrontarsi con le complessità della difesa digitale.
I vertici aziendali e cybersecurity
Lo studio di Kaspersky dimostra che, nonostante la GenAI sia sempre più presente, i leader aziendali devono ancora essere informati sui rischi legati all’implementazione di questa tecnologia. Il 95% dei dirigenti riconosce la presenza di questa tecnologia nelle loro aziende. Inoltre più della metà (53%) afferma che consente di semplificare le operazioni in mondo continuo. Il 91% dei dirigenti aziendali desidera saperne di più sul funzionamento della GenAI e sui processi di gestione dei dati. ll che riflette un approccio proattivo allo sfruttamento del suo potenziale. Tuttavia, è allarmante che pochi abbiano implementato misure di salvaguardia, dato che solo il 59% si preoccupa delle fughe di dati legate all’IA. Inoltre, meno di un quarto (22%) ha dichiarato di aver discusso le normative sull’IA in consiglio di amministrazione o con i senior executive.
L’IA non è l’unico problema
La mancanza di preparazione sembra essere una sfida diffusa in vari settori, Paesi o industrie. Nel settore automobilistico, un recente sondaggio di Kaspersky mostra che gran parte dell’industria potrebbe non essere ancora pronta per la nuova normativa WP.29. Ad esempio, sebbene il 23% degli intervistati in Germania abbia sviluppato dei piani, non ha iniziato ad implementarli né li ha ancora realizzati. Al momento solo il 37% è in fase di implementazione. Di questi, appena il 9% è riuscito a garantire la piena attuazione dei requisiti di entrambe le direttive. L’industria automobilistica e i suoi fornitori sono quindi ancora molto indietro nell’attuazione delle regolamentazioni.
Si rischia una crisi
Cesare D’Angelo, General Manager Italy & Mediterranean di Kaspersky
La cybersecurity aiuta a guidare tutto, dai nostri viaggi in auto alle funzioni aziendali critiche. Eppure ci sono carenze preoccupanti nell’implementazione delle misure di salvaguardia digitale dell’UE, con il rischio di una crisi della cybersecurity. Con così poche aziende che regolano l’uso dell’automazione digitale e dell’IA nella loro organizzazione, e che non dispongono di misure di cybersecurity, stanno correndo il rischio di fughe di dati. Le aziende devono stanziare urgentemente le risorse e prepararsi alla legislazione in arrivo, altrimenti rischiano di subire gravi conseguenze”
Cybersicurezza e minacce: vertici aziendali sono pronti per le normative?
Kaspersky offre soluzioni all’avanguardia nel campo della cybersecurity completa, sviluppando soluzioni per affrontare l’evoluzione del panorama delle minacce e superare i limiti degli strumenti di sicurezza tradizionali e della formazione. Le aziende hanno bisogno di soluzioni di protezione informatica automatizzate, flessibili e senza soluzione di continuità come Kaspersky Next, con funzionalità avanzate che consentano alle aziende di rilevare, analizzare e rispondere efficacemente alle minacce avanzate in tempo reale.
Soluzioni per un futuro più sicuro e resiliente
Le persistenti lacune nella conoscenza e nella preparazione in materia di cybersecurity da parte dei responsabili decisionali, insieme alla carenza di competenze, evidenziano la necessità di prodotti EDR e XDR graduali. Soluzioni che soddisfino le diverse esigenze aziendali, fornendo al contempo un approccio proattivo e comprensibile alla cybersecurity. Offrono spunti di riflessione e raccomandazioni concrete, guidando le organizzazioni verso un futuro più sicuro e resiliente in un panorama digitale in continua evoluzione.
I consigli di Kaspersky
Per affrontare questo problema sia ora che in futuro, è consigliabile:
- investire in corsi di formazione e iniziative di cybersecurity e di sensibilizzazione a tutti i livelli di impiego. Implementare la formazione di sensibilizzazione alla sicurezza per rispondere a esigenze specifiche e ridurre al minimo il rischio di incidenti interni di cybersecurity.
- Considerare l’utilizzo di servizi di Threat Intelligence come la formazione di Kaspersky Expert per migliorare le competenze dei professionisti InfoSec. Oppure il supporto di terze parti e i servizi di Threat Intelligence con soluzioni EDR, MDR e XDR all’avanguardia come Kaspersky Next.
- Utilizzare simulatori interattivi per valutare le competenze e le capacità decisionali dei singoli in scenari critici. Esplorare opzioni di giochi didattici interattivi per osservare e rispondere ad attacchi simulati.
- Integrare e promuovere una cultura della resilienza della cybersecurity e responsabilizzare la forza lavoro per mitigare efficacemente le minacce emergenti.
- Le aziende dovrebbero condurre un inventario completo (valutazione del rischio della supply chain) dei prodotti e dei servizi che acquistano e dei processi associati. Questa valutazione del rischio comprende anche un’attenta verifica dei registri di cybersecurity e dei piani di gestione del rischio dei singoli fornitori.
- I processi che sono soggetti a una rigorosa conformità devono essere completamente tracciabili. Questo include tutte le strategie per affrontare i rischi informatici e l’intero ciclo di vita del veicolo e dei servizi ad esso associati. Ogni cambiamento nel processo di sviluppo e costruzione della supply chain deve quindi essere costantemente monitorato, utilizzando un processo strutturato e definito.
- Iniziare a prepararsi per tempo alle normative. Ad esempio Kaspersky fornisce indicazioni per la direttiva NIS2 sulla sua pagina web dedicata.