La frequenza, la complessità e la pericolosità degli attacchi informatici rende necessario superare e migliorare le strategie tradizionali di cyber sicurezza, focalizzate unicamente sulla prevenzione e sulla protezione. Le aziende devono adottare un approccio più ampio, che preveda oltre alla protezione anche la risposta agli attacchi subiti. È qui che entra in gioco il concetto di cyber resilienza, oggi sempre più centrale anche a livello normativo con l’introduzione del Cyber Resilience Act da parte dell’Unione Europea.
Differenze tra Cyber Resilience e Cyber sicurezza
Sebbene i termini cybersecurity e cyber resilience vengano spesso utilizzati come sinonimi, in realtà fanno riferimento a due approcci distinti ma complementari. La cybersecurity si concentra principalmente sulla prevenzione e protezione: mira a impedire che gli attacchi informatici avvengano, adottando misure tecniche e organizzative per difendere i sistemi, i dati e le reti da accessi non autorizzati, malware o violazioni.
La cyber resilience, invece, parte dal presupposto che nessun sistema è invulnerabile. Anche le migliori difese possono essere superate, ed è quindi essenziale che un’organizzazione sia in grado di resistere a un attacco, rispondere in modo efficace e ripristinare rapidamente le proprie attività. Non si tratta solo di evitare il danno, ma di limitare gli impatti, garantendo la continuità operativa e tutelando i processi critici anche durante e dopo un evento cyber.
Normativa CRA (Cyber Resilience Act)
Il nuovo regolamento sulla cyber resilienza, indicato come Cyber Resilience Act, ha come obiettivo quello di rafforzare la sicurezza dei prodotti digitali immessi sul mercato dell’Unione Europea definendo dei requisiti da rispettare a partire dal 2027, ovvero:
- norme per la messa a disposizione sul mercato di prodotti con elementi digitali per garantire la cybersicurezza di tali prodotti;
- requisiti essenziali di cybersicurezza per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti per quanto riguarda la cybersicurezza;
- requisiti essenziali di cybersicurezza per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cybersicurezza dei prodotti con elementi digitali durante il periodo in cui si prevede che i prodotti siano in uso e obblighi per gli operatori economici in relazione a tali processi;
- norme sulla vigilanza del mercato, compreso il monitoraggio, e sull’applicazione delle norme e dei requisiti previsti.
Strategie per costruire la cyber resilienza in azienda
Per non farsi trovare impreparate, le aziende devono adottare strategie capaci di integrare soluzioni di cyber sicurezza e cyber resilienza. Alcune attività esemplificative sono:
- Valutazione del rischio continuo – È fondamentale monitorare costantemente i sistemi e identificare quali dati o processi sono più critici per il business. Solo conoscendo i propri punti deboli è possibile proteggersi in modo efficace.
- Backup regolari e testati – Salvare copie sicure dei dati non basta: è essenziale verificare che i backup funzionino e permettano un ripristino rapido, per ridurre al minimo fermi operativi e perdite economiche.
- Simulazioni e “crisis management” – Organizzare esercitazioni aiuta i team a reagire prontamente in situazioni reali. Le simulazioni affinano la collaborazione tra reparti e riducono il rischio di errori durante una crisi.
- Piani di risposta agli incidenti – Un buon piano IRP stabilisce in anticipo cosa fare in caso di attacco, chi deve intervenire e come si contengono i danni. Deve essere aggiornato regolarmente e testato sul campo.