NIS2 e DORA: ciò che le aziende IT dovrebbero sapere

La Direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS2) e il Regolamento sulla resilienza operativa digitale (DORA), che devono essere entrambi implementati da determinate aziende con sede nell'Unione Europea entro quest'anno, sono destinati a ridisegnare il panorama della sicurezza informatica in tutto il continente.
 

Sebbene la legislazione NIS2 e DORA potrebbero non essere direttamente applicabili a tutte le aziende IT e di software, i loro clienti potrebbero decidere di valutare la sicurezza informatica e la resilienza operativa dei loro fornitori terzi rilevanti per essere conformi alla legislazione. Pertanto, è di vitale importanza che le aziende IT siano consapevoli dei nuovi requisiti e dei possibili rischi connessi, per implementare di conseguenza strategie di mitigazione del rischio. 
 

Questo articolo illustra alcuni esempi di come le aziende IT e di software possono ridurre al minimo la loro esposizione al rischio e alla responsabilità, tenendo in considerazione questa nuova legislazione:  

Trasparenza e comunicazione come pietre miliari 

Politica di divulgazione delle vulnerabilità del software (VDP): incoraggiare una cultura di segnalazione responsabile delle vulnerabilità stabilendo una VDP ben definita. I clienti dovrebbero essere incentivati a segnalare le vulnerabilità al proprio fornitore di software o di servizi informatici. La VDP dovrebbe delineare chiaramente le modalità di segnalazione delle vulnerabilità, il processo di coordinamento delle correzioni e garantire a chi effettua la segnalazione l'anonimato e la protezione dalle ritorsioni. 
 

Gestione delle patch: stabilire un sistema per affrontare rapidamente le vulnerabilità identificate attraverso  test interni o segnalazioni dei clienti. Quando vengono individuate delle vulnerabilità, le aziende IT dovrebbero comunicare chiaramente ai loro clienti la natura del problema, l’impatto potenziale e la disponibilità di una patch o di un aggiornamento.  
 

Linguaggio chiaro: evitare di usare linguaggi specialistici o troppo tecnici quando si comunicano problemi di sicurezza o aggiornamenti ai clienti. L'utilizzo di un linguaggio chiaro e conciso faciliterà la comprensione delle comunicazioni da parte dei clienti.  
 

Documentazione  dei processi: le aziende IT dovrebbero creare processi ben definiti per documentare tutte le interazioni con i clienti, compresi i consigli forniti e gli accordi presi. In caso di disaccordo con un cliente o di minaccia di responsabilità, avere una documentazione dettagliata può aiutare a sostenere la propria posizione.     
 

Fiducia del cliente: l'acquisizione di certificazioni o di report di audit SOC2 può assicurare ai clienti che l'ambiente di controllo della sicurezza del loro fornitore di servizi IT è protetto e di alto livello. Essere sempre pronti a condividere le prove dei test di controllo in determinate circostanze con i clienti e le autorità di regolamentazione.  
 

Test di penetrazione basati sulle minacce: se richiesto dai clienti, le aziende IT dovrebbero pianificare la partecipazione a esercizi di test di penetrazione basati sulle minacce, compresi i test di pooling. 

Sfruttare il potere dei contratti 

Esclusioni di responsabilità chiare: per i fornitori di software, è opportuno includere nei contratti di licenza del software alcune dichiarazioni di esclusione di responsabilità che illustrino le limitazioni delle capacità di sicurezza del software, in modo da definire aspettative chiare. Occorre anche evidenziare ciò le funzionalità per cui il software è stato progettato e le misure di sicurezza che sono state implementate all’interno di esse. 
 

Ambito del servizio: un contratto e/o un accordo sul livello di servizio (SLA) ben definito delineano i servizi specifici forniti dall'azienda IT e i suoi obblighi. Questo aiuterà a stabilire esattamente di cosa è responsabile l'azienda IT. È anche utile specificare cosa non farà il fornitore di servizi informatici, a scanso di equivoci.  
 

Obblighi del cliente: il contratto dovrebbe delineare chiaramente le responsabilità del cliente in materia di sicurezza, la più importante delle quali è la notifica degli incidenti. Le responsabilità possono includere anche gli aggiornamenti tempestivi del software, il corretto controllo degli accessi degli utenti e il rispetto delle best practice di sicurezza. Quando si lavora con grandi organizzazioni che hanno un proprio reparto IT interno, la necessità di una formulazione chiara che specifichi gli obblighi di ciascuna delle parti è ancora più importante.  
 

Garanzie limitate: occorre prendere in considerazione l'inserimento di garanzie limitate negli accordi tra fornitore IT e cliente, che escludano la responsabilità per danni indiretti o conseguenti derivanti da attacchi informatici, assicurandosi che la responsabilità sia sempre limitata a una somma ragionevole. Queste limitazioni possono aiutare a gestire la potenziale esposizione alla responsabilità. 
 

Clausole di manleva: in alcuni casi, le società IT e di software potrebbero prendere in considerazione l'inserimento di clausole di manleva nei loro accordi. Potrebbero anche volere includere clausole di forza maggiore, ad esempio definendo un attacco informatico come una causa di forza maggiore nel contratto. Tali clausole possono trasferire una parte della responsabilità sul cliente, ma sono complesse e potrebbero non essere applicabili in tutte le giurisdizioni. È quindi fondamentale consultare un consulente legale.  

Formare e responsabilizzare i clienti 

Documentazione di sicurezza: una documentazione completa sulla sicurezza informatica può mettere i clienti in condizione di utilizzare il loro software in modo sicuro. Tale documentazione dovrebbe delineare le best practice per la configurazione e l’implementazione corretta del software e aiutare i clienti a sfruttare al meglio le funzionalità di sicurezza. Come già detto, il linguaggio della documentazione deve essere completo e di facile comprensione.  
 

Informazioni ai clienti: le aziende IT  dovrebbero informare i clienti se il loro livello di sicurezza informatica attuale o proposto è insufficiente, ad esempio se essi non utilizzano l'autenticazione a più fattori o se hanno una capacità di firewall scadente. Ogni volta che i clienti vengono informati di tali punti deboli, ciò deve essere chiaramente documentato.   
 

Formazione sulla consapevolezza della sicurezza: le aziende IT dovrebbero prendere in considerazione l'idea di offrire ai propri clienti corsi di formazione sulla sicurezza informatica per insegnare loro come utilizzare i sistemi informatici in modo sicuro e come identificare le potenziali minacce. È altrettanto importante che le aziende IT si assicurino di svolgere attività di formazione simili anche al proprio interno.  

Conclusioni 

Queste sono raccomandazioni generali e i processi specifici implementati dipenderanno dalla natura delle attività e dei prodotti delle aziende IT, dal mercato di riferimento e dall'ambiente legale in cui operano. Confrontarsi con un consulente legale e un assicuratore è fondamentale per essere certi che l’approccio adottato sia in linea con le normative e le best practice in materia. Tuttavia, i principi generali qui delineati possono aiutare le aziende IT e di software a creare un quadro più solido e resistente di mitigazione dei rischi e delle responsabilità.   
 

Dalla Responsabilità civile generale alla Cybersicurezza, dal Property agli Errori e omissioni, la Technology Industry Practice di Chubb fornisce soluzioni assicurative per le aziende IT di tutte le dimensioni in un'ampia gamma di settori.