(Immagine generata dall'AI)
La campanella sta per suonare: si avvicina, per le aziende, l’obbligo di adeguamento alla Nis2, la nuova Direttiva Europea sulla gestione del rischio informatico, legato in particolare a reti e dati. L’acronimo Nis sta per Network and Information Security, mentre il numero 2 indica che questo regolamento subentra alla prima direttiva Nis, emanata nel 2016 e recepita nell’ordinamento italiano nel 2021.
In pochi anni, come sappiamo, nella sfera digitale gli scenari mutano rapidamente e con la Nis2 l’Unione Europea ha voluto potenziare aspetti diventati particolarmente critici, come la sicurezza delle supply chain dell’informatica, la protezione dei dati (con crittografia e backup) e l’obbligo di rapida disclosure sugli incidenti subìti, per arginare le conseguenze di un data breach. La direttiva si applica a tutte le aziende private e organizzazioni pubbliche che “svolgono funzioni importanti per l’economia e la società nel suo insieme", come le reti di trasporto, i servizi postali, la fornitura di energia, l’assistenza sanitaria, la produzione alimentare, l’industria chimica, la gestione dei rifiuti, il commercio e anche servizi digitali quali motori di ricerca, social network e piattaforme Web.
Il 17 ottobre 2024 è la data ultima per il recepimento del testo nell'ordinamento nazionale, ma ciascun Paese potrà prendersi tempo fino al 17 gennaio 2025 per comunicare alla Commissione Europea le norme e misure adottate e poi fino al 17 aprile per elencare i soggetti interessati dall’obbligo di compliance.
Qualche consiglio per affrontare la Direttiva Nis2
Gestione preventiva del rischio, con un’adeguata cultura aziendale in fatto di cybersicurezza. Maggiore visibilità sulla supply chain e sui potenziali rischi nascosti, ma anche sulle vulnerabilità del software. E ancora, attenzione al backup e alla protezione dei dati. Sono alcuni dei suggerimenti proposti dai vendor Ict alle aziende alle prese con l’adeguamento alla Nis 2.
“La resilienza Ict e cyber per l’economia dell’EU è stata riconosciuta anche da recenti normative come DORA e NIS2, di conseguenza per tante aziende la gestione dei rischi e della resilienza non è più un’opzione, ma un imperativo”, ha commentato Rusudan Losaberidze, solution sales executive risk di ServiceNow Italia. “I leader aziendali che vogliono continuare a crescere devono ripensare a come costruire una resilienza sostenibile e chi non è in grado di muoversi velocemente, di adattarsi rapidamente al rischio e di adottare un approccio basato sui dati rischia di rimanere indietro”.
A detta di ServiceNow, il percorso per diventare “risk-ready”, cioè pronti ad affrontare qualsiasi rischio, per il personale IT delle aziende consta di quattro fasi: costruire un approccio olistico (senza compartimenti stagni tra compartimenti e classi di dati), assicurarsi il consenso della leadership (amministratori delegati e alti dirigenti), scegliere la giusta tecnologia di governance, rischio e compliance e, infine, adottarla nel modo corretto (puntando a costruire, innanzitutto, una cultura della cybersicurezza in azienda).
Tony Fergusson, Ciso di Zscaler, dà qualche consiglio su come ottenere la conformità alla NIS 2 in ambienti OT (Operational Technology), notoriamente affetti dal problema delle vulnerabilità nascoste e da difficoltà di aggiornamento dei software. L’intreccio con l’IT è un fattore di rischio fondamentale, e le molte “terze parti” che contribuiscono all’assemblaggio e al funzionamento di una rete OT complicano l’impresa di tenere tutto sotto controllo. “La convergenza tra IT e OT richiede un cambio di paradigma nelle strategie di mitigazione del rischio”, ha detto Fergusson. “Il modello Zero Trust, basandosi sul principio di offrire il minimo dei privilegi consentiti, offre un approccio promettente per migliorare la sicurezza in questi ambienti complessi. Implementando controlli di accesso granulari a livello di applicazione e segmentazione per i sistemi di produzione e i parchi macchine, le aziende possono ridurre significativamente la loro superficie di attacco e minimizzare il rischio di movimenti laterali”.
“Per gestire correttamente il rischio, occorre saperne individuare le potenziali fonti nella propria infrastruttura, mettere a punto un piano di remediation e poi dotarsi di tecnologie e servizi per intervenire in presenza di incidenti”, ha detto Giovanni D’Amato, sales engineering manager Seeur di Bitdefender. “La supply chain è un anello debole del processo. Le grandi aziende hanno più o meno messo a punto Kpi che misurano la validità dei fornitori, tramite parametri minimi da rispettare. In fase di accesso, occorre avere un Soc di appoggio, un’efficiente capacità di detection & response, un servizio di garanzia sulle vulnerabilità”.
Richard Meeus, director of security technology and strategy Emea di Akamai, consiglia di prestare attenzione a un particolare aspetto, le interfacce di programmazione applicativa: "L'Europa è travolta da un’ondata di attacchi alle API”, ha osservato Meeus. “Le applicazioni sono un grande strumento di comunicazione, ma possono anche risultare il tallone d'Achille di un'organizzazione se non vengono protette in modo efficace. L'aumento degli attacchi alle applicazioni web e alle API nell'area Emea sottolinea l'importanza di proteggere le reti in modo efficace per impedire ai criminali informatici di sfruttare questa grande superficie di attacco. Non si tratta solo di un rischio per la reputazione e i profitti, ma è anche una questione di conformità alle principali direttive dell'UE, come Nis2 e Dora".
Se la Nis2 per molte aziende è una sfida, per le società di consulenza e servizi IT è anche un’opportunità di raggiungere nuovi clienti, bisognosi di un aiuto esterno per poter gestire la compliance. “Le attuali tecnologie avanzate e le conoscenze condivise dagli specialisti del settore sono sicuramente uno degli alleati più preziosi per affrontare il problema della sicurezza informatica, sempre più avvertito da aziende e cittadini”, ha detto Maurizio De Paoli Alighieri, security manager di Smeup. “L’insieme degli accorgimenti relativi all’igiene informatica, attuabili in autonomia, e delle prestazioni erogate da partner come Smeup può, infatti, garantire un livello di sicurezza maggiore alle reti aziendali e ai vari device personali. In aggiunta, la creazione di sistemi di backup in grado di recuperare i dati rappresenta un ulteriore passo avanti nello sviluppo di soluzioni volte a minimizzare questi rischi”.
Smeup consiglia di adottare un “approccio multirischio”, che metta insieme strategie di analisi dei rischi, sistemi di gestione degli incidenti, soluzioni di business continuity, misure di sicurezza sia per la supply chain sia per l’acquisizione, lo sviluppo e la manutenzione di sistemi e reti informatiche. Servono, poi, buone pratiche quotidiane di “igiene informatica”, come l’’aggiornamento costante di sistemi e software, l’uso di password complesse, la crittografia, l’autenticazione a più fattori e il backup.