Recepita dagli Stati membri lo scorso 17 ottobre dopo essere entrata in vigore il 17 gennaio 2023, la direttiva NIS2 introduce nuovi obblighi per le aziende, al fine di migliorare la sicurezza delle infrastrutture critiche all’interno dell’Unione europea. Si stima che siano almeno 350.000 le organizzazioni coinvolte, realtà di medie e grandi dimensioni e di settori pubblici, come sanità, energia, acqua o trasporti. A tutti gli effetti, l’introduzione della direttiva NIS2 si presenta come un fattore chiave per il raggiungimento degli obiettivi digitali del vecchio continente e per il miglioramento della resilienza informatica delle imprese. Come racconta in questa intervista Fabio Panada, Security Architect di Cisco, azienda player di settore che con un’offerta composita e un approccio coeso e integrato alla sicurezza informatica supporta l’allineamento agli obiettivi della nuova normativa.
Come l’introduzione della direttiva NIS2 cambia l’approccio alla sicurezza delle imprese italiane. “Si tratta di un tema molto discusso e attenzionato oggi, seppure le aziende sapessero da tempo di doversi preparare”, esordisce Panada facendo riferimento al decreto legislativo 134/2024 che, entrato in vigore in Italia lo scorso 18 ottobre, non rende più rimandabili gli adempimenti di sicurezza e resilienza informatica che la UE ha previsto come necessari. “La nuova direttiva impone l’adozione di misure di sicurezza per garantire, mitigare, prevenire e gestire i rischi, non solo informatici ma anche fisici o ambientali – spiega il manager -. NIS2, che segue di qualche anno la direttiva NIS1, amplia anche significativamente il bacino di aziende che devono adottare la normativa, decine di migliaia in Italia. In questo scenario, constatiamo un approccio diversificato da parte delle organizzazioni, con realtà già mature sul tema perché più strutturate e altre che stanno ancora studiando le regole degli adempimenti, a partire dal comprendere le richieste stesse della NIS2 e quelle che verranno definite in futuro. Alcune realtà devono peraltro capire se entreranno nel perimetro della NIS2 poiché è la stessa azienda che ritiene di far parte del dominio NIS2 a doversi registrare sul portale dell’Agenzia per la cybersicurezza nazionale (Acn) che nel corso del prossimo anno comunicherà chi debba aderire o meno alla normativa”.
Le imprese con un approccio proattivo alla gestione dei rischi allineano la propria postura di sicurezza per essere compliant. “Ci sono aziende già pronte a passare dalla NIS1 alla NIS2 avendo adottato da tempo le procedure richieste – prosegue Panada -. Si tratta in particolare delle imprese del mondo finanziario, già iper-normato, che guarda da tempo ad una direttiva specifica del settore, Dora – Digital Operational Resilience Act, con misure che le imprese troveranno utili anche per la NIS2. Ci sono poi aziende appartenenti a settori critici che, anch’esse obbligate a seguire best practice in passato, sono oggi abbastanza mature in tema di sicurezza e troveranno il passaggio a NIS2 meno impegnativo e oneroso”.
Per contro, sono moltissime le aziende ad oggi non sottoposte a misure di sicurezza troppo vincolanti che si trovano a dover accelerare il loro percorso verso la compliance, spiega Panada: “Penso, ad esempio, alle medie aziende italiane, non del tutto pronte a passare a NIS2, e in particolare alle aziende nel perimetro alla supply chain che devono guardare con grande attenzione alla postura di sicurezza dei propri fornitori, con un impegno sempre più importante su questo fronte”.
Asset e strategie Cisco supportano il percorso di allineamento agli obiettivi della direttiva NIS2. “Come molte normative, NIS2 non entra nel dettaglio delle tecnologie da adottare ma introduce una serie di vincoli stringenti per le aziende, come la necessità di comunicare gli incidenti in maniera rapida (24 ore per la notifica iniziale e 72 ore per fornire dettagli aggiuntivi, inclusi gli indicatori di compromissione) o l’obbligo di utilizzare l’autenticazione a più fattori”, spiega Panada sottolineando come peraltro l’autenticazione continua e multifattoriale sia uno degli strumenti più efficaci per contrastare l’uso di credenziali rubate, con una riduzione del rischio di compromissione dell’account del 99,9% (fonte: ultimo Cisco Cyber Readiness Index).
“Le aziende devono pertanto dotarsi di strumenti, servizi e processi adeguati per poter rilevare l’incidente, comprenderne l’entità e disporre dei dettagli da comunicare”. In questo percorso, Cisco si impegna a supportare il processo di allineamento agli obiettivi di NIS2 e non solo come requisito di conformità ma come “imperativo strategico per la mitigazione dei rischi, per accrescere la fiducia dei clienti e migliorare la competitività”.
A fattor comune, un ampio portfolio di cybersecurity per difendersi dall’intera catena di attacchi. Soffermandosi su alcuni asset, Panada fa riferimento a Talos Intelligence, gruppo di R&S tra i più ampi al mondo che gestisce quotidianamente miliardi di eventi di sicurezza, mettendo a disposizione servizi sia di supporto in caso incidente informatico sia modalità di education per i clienti e partner. Inoltre, “la recente acquisizione di Splunk ci sta aiutando a creare il SOC del futuro, un elemento significativo per gestire gli incidenti informatici che, dopo la conclusione del merge, grazie a una nuova serie di tecnologie aiuterà ancor più i nostri clienti ad aderire alla normativa NIS2″. L’offerta Cisco si è anche recentemente arricchita attraverso Hypershield, un’architettura distribuita e nativa di AI per la messa in sicurezza ovunque sia la vulnerabilità, nota o sconosciuta; Cisco Xdr che stabilisce le priorità e risolve gli incidenti di sicurezza in modo più efficiente grazie all’automazione; e Cisco Duo che contrasta la crescente ondata di attacchi alle identità.
“Oltre alla tecnologia, promuovere una cultura della sicurezza informatica è altrettanto importante – sottolinea Panada soffermandosi sul tema della formazione -. Bisogna educare clienti e partner e aiutarli nell’adozione della nuove normative. Uno degli elementi più significativi all’interno della normativa NIS2 è infatti la richiesta di implementazione di processi di education awareness nelle aziende a tutti i livelli e di mantenere questa consapevolezza nel tempo. Le organizzazioni devono investire in formazione e istruzione per dotare i propri dipendenti delle conoscenze e delle competenze necessarie per identificare e mitigare le minacce”.
Cisco punta da sempre sulla formazione. Da anni, la Network Academy si occupa di istruire sui temi della security e ha formato nel tempo centinaia di migliaia di persone in Europa. A ciò si aggiungono una serie di certificazioni in ambito cybersecurity con programmi di training per accompagnare clienti e partner nell’adozione delle attività ed essere conformi alla NIS2. “Nel caso specifico – racconta Panada –, Cisco ha implementato una soluzione che aiuta i clienti a creare percorsi di education anche per chi non si occupa di IT, in maniera semplice, con piccoli training animati, pillole di formazione di pochi minuti all’interno di un servizio che indirizza uno dei requisiti chiave della NIS2, ovvero che tutto il personale dell’azienda debba essere costantemente educato sulla cybersecurity”.
Rischi e benefici concreti per le aziende in tema NIS2. Per le aziende non conformi alla nuova normativa, i rischi concreti sono quelli delle sanzioni che dipendono da vari elementi ma che possono raggiungere anche milioni di euro. In particolare, le organizzazioni che non rispettano la nuova legge potrebbero dover pagare multe fino a 10 milioni di euro o il 2% del loro fatturato annuo globale, fino a vedere la loro dirigenza esecutiva temporaneamente sospesa dall’esercizio delle funzioni manageriali.
Al di là delle sanzioni, però, sottolinea Panada, è importante che le aziende utilizzino queste scadenze e queste attività richieste per costruire un sistema più resiliente e migliorare la loro postura di sicurezza, che è infatti uno degli elementi fondamentali della NIS2. “E’ importante che le aziende non vedano questa norma come un mero esercizio di compliance ma usino questa occasione per migliorare la propria postura di sicurezza. Come questo si traduca in realtà dipende da caso a caso, da risorse e risorse, ma questo aspetto è sicuramente importante; prendiamo questa come un’occasione per migliorare. Perché nella trasformazione tecnologica che stiamo vivendo negli ultimi anni nell’IT, come molte aziende hanno già recepito, il problema delle minacce non riguarda soltanto la sicurezza informatica e il ruolo dell’IT ma può impattare l’intera azienda fino a fermarla; per questo è estremamente importante avere visibilità e consapevolezza, dal board fino al singolo utente finale”, conclude Panada.
© RIPRODUZIONE RISERVATA
