Secondo Maarten Stassen, esperto legale dello studio legale americano Crowell&Moring, la regolamentazione riguarderà poi anche le medie imprese e non più solo le grandi aziende. Organizzazioni con almeno 50 dipendenti o un fatturato e un totale di bilancio superiore a 10 milioni di euro. Egli stima che siano 2.000 il numero delle “nuove” aziende che dovranno adeguarsi.
gabbiano“In caso di mancato rispetto delle norme, le sanzioni possono arrivare fino a 10 milioni di euro o fino al 2% del fatturato globale delle aziende!”
“In caso di mancato rispetto delle norme, le sanzioni possono arrivare fino a 10 milioni di euro o fino al 2% del fatturato globale delle aziende!”, esclama. Lui precisa che le autorità non hanno una volontà di controllo e di repressione, ma che le aziende dovranno agire “intelligentemente”.
“L’intelligence è una droga pesante: non possiamo contare sulla fine degli attentati”
“È una buona notizia. Le aziende europee devono aggiornarsi per proteggersi dagli hacker. Ma mancano pochi mesi. Basti dire che se le aziende si svegliassero solo ora, sarebbe già troppo tardi”, lui dice. Secondo lui ci vorrà circa un anno per mettere in atto un piano concreto per mettere in sicurezza la sua azienda e i suoi dipendenti. La direttiva europea, recepita nell’ordinamento belga tramite un regio decreto, entrerà in piena vigore nel 2025.
gabbiano“Basta dire che se le aziende si svegliassero solo adesso, sarebbe già troppo tardi”.
“È difficile stimare quanto costerà. Ma possiamo stimare che costi almeno tra i 50.000 e i 100.000 euro per le aziende di medie dimensioni, poiché è necessaria la formazione del management e del personale. Può arrivare anche a diverse centinaia di migliaia di euro”precisa.
“I leader aziendali non possono più ignorare la sicurezza informatica. Tuttavia, uno studio di Beltug mostra che solo il 51% delle aziende belghe è preoccupato per i propri dati online e il 20% ammette di non avere alcun piano in caso di violazione della propria sicurezza informatica.precisa.
gabbiano“Possiamo stimare che costi almeno tra i 50.000 e i 100.000 euro per le aziende di medie dimensioni, o anche diverse centinaia di migliaia di euro”.
Auditing, la grande sfida
In tutte queste norme che si accumulano negli anni, la sfida è riuscire a sentire le aziende che dovranno applicarle. “È necessario controllare le proprie infrastrutture ma anche quelle di terze parti e partner. Altrimenti non controlliamo assolutamente nulla”, avverte Maarten Stassen. Il che è tutt’altro che ovvio.
“Ne abbiamo avuto un esempio, con lo scandalo SolarWinds”, commenta. Devi sapere che SolarWinds è uno sviluppatore di software che ha venduto le sue soluzioni a numerosi clienti, tra cui l’amministrazione americana. Ma uno dei software è stato “violato” dai pirati. In conclusione: molte aziende che utilizzano i servizi SolarWinds o che lavorano con i suoi clienti sono state infettate o messe a rischio. Da allora, questo attore ha notevolmente rafforzato la propria sicurezza.
“Le società di revisione esterna devono essere incaricate. Ci sono molte cose da fare. Le aziende europee capiranno in tempi relativamente brevi i vantaggi di iniziare. Ma bisognerà convincere anche le aziende partner fuori dall’Unione“, lui continua. Fattibile secondo lui? Sì, come la normativa GDPR. Ma a patto di non limitarsi a misure superficiali. “Se vogliono fare affari con le aziende dell’Unione Europea, dovranno rafforzare la loro sicurezza. Non avranno scelta!Con queste iniziative è probabile che anche il mercato delle soluzioni di “cybersecurity” cresca.
gabbiano“Se vogliono fare affari con le aziende dell’UE, dovranno rafforzare la loro sicurezza. Non avranno scelta!”.
“Ci saranno responsabilità legali da parte dei manager e anche delle compagnie assicurative. Ci vorrà un buon governo. Non saremo in grado di avere soluzioni per tutto, ma gestire il rischio è meglio che nascondere la testa sotto la sabbia. Ci sono sempre attacchi. Ogni giorno. Come si suol dire, non dobbiamo chiederci “se” saremo attaccati, ma “quando”‘. Ci sono collettivi di hacker, con livelli di professionalizzazione, è incredibile. L’intelligenza artificiale semplifica inoltre l’utilizzo di determinati strumenti. Sarà ancora più semplice attaccare i sistemi, individuare falle, vulnerabilità nei codici. Anche per realizzare video falsi e semplicemente ingannare gli umani, perché spesso la colpa è loro“, lui continua.
Dovremmo diffidare del “grande cattivo” cinese Huawei?
”Gli avvocati dovranno verificare i contratti per poter analizzare i rischi, verificare le responsabilità e valutare i potenziali compensi. Devi ‘esercitarti’, esercitarti. Fai i crash test come dicono.” L’uomo riconosce che sarà complicato verificare le pratiche dei suoi partner o fornitori, ma secondo lui salire di livello attraverso la formazione sarà senza dubbio positivo.
Troppa legislazione in Europa?
Queste leggi sollevano ancora la questione degli oneri per le imprese in Europa. “Credo che la legislazione sia molto utile in questo caso. Permette di chiarire, semplificare e coordinare. Al momento ci sono moltissime misure e procedure da fare in caso di attacchi, ci vogliono ore e in caso di incidenti genera molto stress. Con regole chiare si possono semplificare le cose“, lui dice.
Anche per le aziende che a volte hanno un flusso di cassa limitato? “Anche se non ne abbiamo i mezzi, ci sono molte cose da fare quasi gratuitamente per sviluppare la consapevolezza su questi temi. La scusa del denaro non è una scusa. Non sapere per paura di conoscere i rischi è imperdonabile. Sì, prima o poi ti costerà dei soldi, ma da qualche parte devi iniziare. Non fare niente non è un opzione“, lui finisce.
Il 20% delle aziende belghe afferma di non aver intrapreso alcuna azione contro la pirateria. Un dato preoccupante.
Aumento degli attacchi informatici in tutto il mondo, tranne che in Belgio?
Un rapporto di Check Point Research (CPR), una società di sicurezza informatica americano-israeliana, pubblicato martedì, mostra un notevole aumento del numero medio di attacchi informatici per azienda a settimana in Europa. Un aumento del 5%. Secondo questo rapporto, un’azienda è stata presa di mira in media da 1.308 attacchi alla settimana (tra gli attacchi rientrano ovviamente le e-mail di phishing, che sono molto numerose). “Il settore dell’istruzione e della ricerca è stato duramente colpito, con una media di 2.454 attacchi settimanali per azienda. Questo settore è il primo nel mirino, seguito da quelli del governo e dell’esercito (1.692 attacchi a settimana) e della sanità (1.605 attacchi per azienda). Questo sviluppo evidenzia la grande vulnerabilità dei settori essenziali per il corretto funzionamento della società. si legge nel rapporto. Tuttavia, riferisce che nel primo trimestre del 2024, il Belgio ha resistito in media meglio, con un calo del 5% nel numero di attacchi rilevati per azienda. Ma potresti anche non riposare sugli allori.
