Come molti sapranno, è da poco partito l’iter per applicare e rendere operativa la nuova Direttiva NIS2 che stabilisce regole organizzative, tecniche ed operative per rendere più sicure e resilienti agli attacchi informatici tutte le aziende Europee.
A Luglio 2025 è previsto il 2° step di aggiornamento al portale ACN (Agenzia per Cybersicurezza Nazionale) per le aziende che sono incluse, per dimensioni (da media impresa in su) e/o per codice ATECO, nel perimetro previsto dal Dlgs 138/2024 che detta le linee guida attuative. Ma cosa c’entrano le stampanti multifunzione?…e soprattutto devono essere considerate come asset da proteggere? Lo spieghiamo in questo articolo
Le stampanti multifunzione non sono solo “carta e toner”
I dispositivi periferici come le stampanti ed, in particolare le stampanti multifunzione, sono ormai presenti e numerose nella maggior parte degli ambienti lavorativi. Spesso però si sottovaluta che possono essere utilizzate come punto d’ingresso per lanciare attacchi informatici su larga scala.
In particolare, le stampanti multifunzione, per le loro prerogative di condivisione fra gli utenti, sono tutte connesse alla rete aziendale e spesso anche al web, per cui va da sé che possono essere utilizzate dai criminali informatici come “Cavallo di Troia” per accedere alla rete aziendale e, di conseguenza ad altri apparati più appetibili quali server, storage etc.
Ma, anche i dati contenuti nelle multifunzione stesse, tramite i dispositivi di memorizzazione interni (hard-disk), possono rappresentare un obiettivo per gli attaccanti. Molti di questi dispositivi memorizzano copie delle ultime stampe effettuate o delle scansioni eseguite che potrebbero includere, tra l’altro, informazioni sensibili come dati sanitari, documenti d’identità o informazioni aziendali importanti.
I modelli di stampanti multifunzione di fascia più alta possono inoltre disporre di funzioni di gestione documentale e condividere dati e documenti con svariati utenti della rete aziendale.
Avete quindi ben capito che anche le periferiche di stampa ed, in particolare le stampanti multifunzione, possono costituire una criticità da gestire con la massima attenzione affinché non siano oggetto delle attenzioni dei cybercriminali.
Cosa dice la Direttiva NIS2
Come accennato prima, la Direttiva NIS2 si pone come obiettivo principale quello di aumentare la prevenzione e la resilienza in materia di cybersecurity per alcune categorie ben definite di aziende pubbliche e private, suddivise fra “soggetti critici” e “soggetti importanti” in funzione delle attività che svolgono.
Le misure NIS2 da adottare
In particolare, l’Art.21 della Direttiva stabilisce le misure da adottare che, in buona parte, rispondono alle stesse misure richieste per ottenere la certificazione ISO27001, da cui prende diretta ispirazione. In pratica, chi già opera in regime di certificazione ISO27001, può dormire sonni tranquilli in quanto, quello che sta già facendo, è sicuramente conforme e superiore a quanto richiesto dalla NIS2.
Vediamo qui di seguito che cosa deve prevedere il Piano Sicurezza NIS2:
- gestione degli incidenti;
- continuità operativa , gestione del backup e ripristino in caso di disastro ;
- sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
- strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi cybersecurity;
- best practices di “igiene informatica” di base e formazione in materia di cybersecurity;
- policy e procedure relative all’uso della crittografia e, se del caso, della anonimizzazione o pseudomizzazione;
- sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione dei varchi attivi;
- uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
E qui qualcuno potrebbe dire che le suddette indicazioni sono alquanto generiche e non indicano con precisione quali sono gli asset, le attività organizzative, e le misure tecniche da adottare. Concordiamo anche se, è necessario puntualizzare che, queste misure devono sempre essere valutate dopo un’attenta Gap Analysys cui segue una Risk Assessment (Valutazione dei Rischi Informatici) che non potrà mai essere uguale per tutte le aziende, anche se di settore e dimensioni simili.
In ogni caso, ci viene in aiuto il Dlgs 138/2024, che contiene le norme attuative necessarie per “mettere a terra” la Direttiva in territorio nazionale tra cui le utilissime determine, una vera e propria CHECK-LIST pubblicata anche sul sito ACN Nazionale dove, vengono indicate punto-per-punto tutte le verifiche e le misure da eseguire sui vari asset tra cui, sicuramente, anche tutta la periferia connessa alla rete quindi anche le nostre stampanti e stampanti multifunzione.
Quindi, possiamo tranquillamente affermare, che anche le stampanti multifunzione vanno considerate e inserite all’interno di un Piano di Assessment NIS2 orientato alla compliance verso la Normativa NIS2, ovviamente riguardo le aziende che sono inserite nel perimetro definito.
Teniamo anche sempre presente che, al di là della normativa NIS2, anche altre normative, come il GDPR, GPSR e DORA, richiedono l’adozione di misure tecniche ed organizzative volte a proteggere i dati per cui l’attenzione su questi dispositivi deve sempre alta e costante.
A tal proposito puoi anche andare a leggere il nostro precedente articolo su Stampanti e GDPR dove indichiamo alcune soluzioni tecniche e tools come i software MPS MONITORING e i PRINT MANAGEMENT SOFTWARE, per aumentare il grado di sicurezza di stampanti e stampanti multifunzione.
Vuoi maggiori informazioni su questi argomenti? Contattaci
