29/08/2024 di Roberto Bonino

Nis2 si avvicina, ma quanto sono pronte le aziende italiane?

L’allineamento alla normativa europea sul risk management dovrebbe essere in dirittura d’arrivo per chi si è mosso per tempo, anche se qualche margine ancora esiste. Il quadro dal Paese tratteggiato da Giovanni D’Amato, sales engineering manager Seeur di Bitdefender.

Immagine generata con l'AI

Immagine generata con l'AI

Com’è ormai universalmente noto, almeno a chi si occupa di cybersecurity, l’Europa ha deciso da tempo di far evolvere la Direttiva Nis (Network and Information Security) per aumentare il livello di sicurezza di buona parte delle organizzazioni continentali e stabilire un livello omogeneo di maturità all’interno dei paesi dell’Ue.

La messa a punto della normativa Nis2 è stata costruita con l’intenzione di rafforzare la protezione dei dati europei di fronte alle crescenti minacce su diversi assi, che spaziano dalla gestione del rischio alla capacità di risposta agli incidenti, dalla sicurezza della supply chain alla crittografia dei dati, con i relativi obblighi di reporting e condivisione delle informazioni. A essere interessate non sono le sole infrastrutture critiche (com’era per la Nis), bensì tutte le realtà essenziali o importanti (in base alle dimensioni e ai settori di appartenenza) per ogni paese, ovvero, in Italia, un numero non troppo inferiore ai 10mila soggetti.

Si sente spesso parlare della data del 17 ottobre 2024 per l'entrata in vigore della Nis2, ma questa data rappresenta il termine ultimo per il recepimento del testo nell'ordinamento nazionale. Ciascun Paese avrà poi tempo fino al 17 gennaio 2025 per informare la Commissione Europea delle norme e delle misure adottate, quindi fino al 17 aprile 2025 per presentare l’elenco delle entità importanti ed essenziali interessate.

Giovanni D’Amato, sales engineering manager Seeur di Bitdefender

Giovanni D’Amato, sales engineering manager Seeur di Bitdefender

Da più parti si sente dire che il mondo industriale italiano sia tutt’altro che pronto all’allineamento alla nuova direttiva. Giovanni D’Amato, sales engineering manager Seeur di Bitdefender, offre il proprio punto di vista sul tema, partendo da una considerazione tanto ovvia quanto impietosa: “Le best practice contenute nella direttiva sono note da tempo a chi si occupa di cybersecurity. Molti accorgimenti e piani potevano essere implementati già da tempo e chi lo ha fatto oggi si trova certamente avvantaggiato. Per gestire correttamente il rischio, occorre saperne individuare le potenziali fonti nella propria infrastruttura, mettere a punto un piano di remediation e poi dotarsi di tecnologie e servizi per intervenire in presenza di incidenti”.

Una delle novità fondamentali di Nis2 riguarda il coinvolgimento non solo delle aziende che rientrano nei profili settoriali e dimensionali già accennati, ma anche i loro fornitori di servizi, coloro che hanno accesso all’infrastruttura delle società: “La supply chain è un anello debole del processo”, commenta d’Amato. “Le grandi aziende hanno più o meno messo a punto Kpi che misurano la validità dei fornitori, tramite parametri minimi da rispettare. In fase di accesso, occorre avere un Soc di appoggio, un’efficiente capacità di detection & response, un servizio di garanzia sulle vulnerabilità. Tutto questo per le Pmi rappresenta un onere complesso da affrontare. Noi stiamo spingendo sull’adozione della Managed Detection & Response per la protezione dei nostri partner, i quali, a loro volta, possono poi offrire lo stesso tipo di servizio ai loro clienti. Così si può arrivare a garantire un alto livello di sicurezza”.

In pratica, la strada dell’affidamento a un partner può rappresentare una via d’uscita per chi deve allinearsi alla normativa e non dispone di mezzi o risorse interne, a partire dal Soc, costoso e da presidiare h24. Tuttavia, occorre definire un rapporto contrattuale chiaro, per capire chi si debba assumere le responsabilità e gli oneri (anche di tempestiva comunicazione) in caso di incidenti: “Oltre alla capacità di intervenire per tempo, occorre fornire la reportistica necessaria per ricostruire gli avvenimenti ed effettuare analisi forensi”, conferma D’Amato. “Non sempre i partner sono disponibili o in grado di fornire questo genere di supporto e qui intervengono le polizze assicurative, extrema ratio come via d’uscita”.

Naturalmente, le aziende devono aver integrato la tecnologia necessaria a prevenire o rilevare per tempo una vulnerabilità. Bitdefender ha creato la piattaforma Gravity Zone, che integra le principali best practice di cybersecurity, non solo in ottica antimalware o Xdr: “Copriamo la gestione di tutti i rischi, anche delle attività umane”, indica D’Amato. “Si arriva a un alto livello di automazione sulle patch nei sistemi, sulla encryption e sulla protezione anche zero day, molto utile per chi non dispone di risorse interne specializzate. La nostra divisione Oem, poi, fa sì che pezzi del nostro codice si ritrovino in altre soluzioni e questo genera una telemetria capace di raccogliere dati da oltre un miliardo di endpoint, per offrire un’efficace threat intelligence”.

scopri altri contenuti su

ARTICOLI CORRELATI