© Home

• Home Page
• Mission
• Cybersecurity
  • Perché?
  • Gli impatti possibili
  • Che cosa?
  • Come?
• Direttiva NIS 2
  • Approfondimento
  • Dalla NIS alla NIS 2
  • Disposizioni sui soggetti NIS 2
  • Altre disposizioni
  • FAQ
• Blog

LA MISSION

Abilitare il Management delle PMI ad estendere l'azione di direzione e controllo alla gestione del Cyber Risk

• Home Page
• Mission
• Cybersecurity
  • Perché?
  • Gli impatti possibili
  • Che cosa?
  • Come?
• Direttiva NIS 2
  • Approfondimento
  • Dalla NIS alla NIS 2
  • Disposizioni sui soggetti NIS 2
  • Altre disposizioni
  • FAQ
• Blog

QUALI I POSSIBILI IMPATTI SUL VOSTRO BUSINESS DI UN INCIDENTE CYBER?

Costi diretti e non solo

Se l’avete già fatto, siete probabilmente consapevoli di alcuni aspetti importanti.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Nullam porttitor augue a turpis porttitor maximus. Nulla luctus elementum felis, sit amet condimentum lectus rutrum eget.

Costi di risposta all'incidente

Costi di sostituzione o ripristino

Perdite di produttività

Costi associati alla gestione dell'incidente, quali: quelli per il personale interno (es. straordinari) o esterno (es. esperti di cybersecurity) coinvolto nelle attività, quelli per i consulenti legali, per le relazioni pubbliche, per gli eventuali obblighi di notifica nei riguardi dei consumatori (ad es. nel caso di perdita di dati personali), per l'eventuale pagamento di riscatti (ransomware), per eventuali azioni di responsabilità civile da parte di clienti e fornitori danneggiati (es. nel caso di perdita di dati proprietari o di interruzione nella fornitura di servizi), possibili spese straordinarie per porre in essere nuove misure di sicurezza (imposte da autorità competenti o volontariamente intraprese).

Spese dirette associate alla sostituzione di un bene, ad esempio perché danneggiato o perso, come nel caso della ricostruzione di una infrastruttura, un edificio o un impianto a causa di un evento naturale o doloso, del riacquisto di un computer portatile derubato, della sostituzione di un dipendente infedele licenziato, della copertura di perdite conseguenti a frodi informatiche.

Quelle che si verificano quando l'incidente (subito direttamente o anche tramite un fornitore) arriva ad impattare sull'operatività, riducendo o addirittura interrompendo la capacità dell'organizzazione di perseguire la missione aziendale e generare reddito, beni e servizi (es. sito e-commerce non disponibile causa interruzione nel funzionamento di reti o sistemi informativi). Potranno anche includere i costi del personale che non è in grado di svolgere le proprie mansioni a causa dell'incidente (es. linee telefoniche di un call center inattive) oppure quelli conseguenti ad una sua minore produttività (es. passaggio da operazioni  automatizzate a manuali).

Sanzioni e condanne

Perdite di vantaggio competitivo

Danni reputazionali

Spese associate alle eventuali azioni regolamentari o legali intraprese nei confronti dell’organizzazione a causa di violazioni di norme di legge emerse  a seguito dell'incidente, comprese quelle commesse dai dipendenti.

Potenziali perdite future dovute ad una peggiorata posizione competitiva, che si potrebbe verificare quando un incidente impatta su asset che differenziano l'offerta dell'organizzazione da quella dei concorrenti, garantendo minori costi di produzione, una migliore qualità o funzionalità avanzate. Ad esempio, nel caso delle organizzazioni commerciali, potrebbe trattarsi di: efficienze operative, segreti industriali e proprietà intellettuale, piani per fusioni e acquisizioni, ecc. Invece, al di fuori dell'ambito commerciale, potrebbero essere: segreti militari, patti segreti, ecc.

Potenziali perdite future associate ad una riduzione del valore percepito dell'organizzazione da parte dei suoi stakeholder. In particolare, per le organizzazioni commerciali, tengono conto di: cali di fatturato (conseguenti a possibili perdite di quote di mercato e quindi a una ridotta capacità di mantenere i propri clienti), della riduzione del prezzo delle azioni (capitalizzazione) per le società quotate in borsa, della minore predisposizione a cooperare da parte di organizzazioni partner, di possibili aumenti del costo del capitale, di una minore capacità di trattenere i dipendenti e attrarrne di nuovi, di un maggior costo delle assicurazioni.

Avete invece ritenuto finora che l’argomento non richieda un vostro interessamento diretto e demandato ad altri le decisioni a riguardo?

È probabile in questo caso che i processi critici del vostro core business dipendano solo limitatamente dall’impiego di tecnologie ICT e che per queste ultime utilizziate servizi erogati da fornitori esterni.  La vostra organizzazione fa però parte di una supply chain?

Considerate allora che:

• clienti, esistenti e potenziali, potrebbero valutarvi anche sulla base di requisiti di cybersecurity, per cui questa diventerebbe un vero e proprio fattore di competitività;
• un incidente di cybersecurity potrebbe interessare un vostro fornitore critico (non soltanto di servizi ICT), con conseguenze significative sulla vostra operatività.

Attenzione infine a nuovi requisiti normativi, di prossima applicazione, che imporranno a molti di dedicare d'ora in poi maggiore attenzione al tema!

La Direttiva UE 2022/2555 (cosiddetta Direttiva NIS 2) dovrà essere recepita in tutti gli Stati membri dell'Unione entro il 17 ottobre 2024 ed interesserà tutte le organizzazioni, anche medie e piccole, che operano in uno dei tanti settori economici che ricadono nel suo ambito di applicazione e soddisfano determinati requisiti dimensionali.

• Approfondimento sulla direttiva NIS 2

"Ci vogliono venti anni per costruire una reputazione e cinque minuti per rovinarla. Se ci pensi, farai le cose diversamente."

  Warren Buffet

© Home