L’evoluzione normativa in materia di sicurezza informatica, rappresentata dalla Direttiva NIS2, pone sfide significative sia per le aziende che per le pubbliche amministrazioni. Questo nuovo quadro normativo, pensato per rafforzare la resilienza cyber dei settori essenziali e strategici, richiede un approccio strutturato e capacità di adattamento non comuni. Per molte organizzazioni, l’adeguamento alla direttiva non è solo una questione tecnica, ma anche un cambiamento culturale, che coinvolge la governance, la gestione dei rischi e la formazione del personale.
In questo contesto, Matteo Mazzei, Security Advisory Strategy & Governance Team Leader di Var Group, ci guida attraverso le principali difficoltà incontrate dalle organizzazioni nell’implementare la NIS2 e nell’affrontare criticità come l’obsolescenza tecnologica, la scarsità di risorse e la mancanza di una cultura aziendale orientata alla sicurezza. Con il suo approccio distintivo, Var Group supporta le organizzazioni nell’identificare i gap di conformità, implementare soluzioni adeguate e trasformare le sfide in opportunità di crescita e innovazione. Allo stesso tempo offre una panoramica sulle best practice, le competenze chiave e le soluzioni innovative necessarie per garantire non solo la compliance normativa, ma anche un miglioramento complessivo della gestione della sicurezza informatica, con benefici tangibili per il business.
Quali sono le principali sfide che aziende e pubbliche amministrazioni devono affrontare nell’implementazione della Direttiva NIS2?
L’implementazione della Direttiva NIS2 rappresenta una sfida complessa per aziende e pubbliche amministrazioni, richiedendo un cambiamento culturale e operativo profondo. Molte organizzazioni si trovano impreparate a soddisfare i requisiti di compliance, non avendo una governance strutturata della sicurezza informatica. Una delle principali difficoltà consiste nell’identificare con precisione quali asset, sistemi e processi rientrano nell’ambito di applicazione della direttiva, un compito particolarmente arduo per le organizzazioni di grandi dimensioni. A questo si aggiunge la necessità di condurre una valutazione accurata dei rischi informatici e del loro potenziale impatto sulle attività aziendali, elemento essenziale per definire misure di sicurezza adeguate.
Le organizzazioni sono chiamate a investire tempo, risorse umane e finanziarie per adottare le misure tecniche e organizzative richieste dalla direttiva, spesso affrontando l’esigenza di aggiornare significativamente le proprie infrastrutture IT per soddisfare i nuovi standard di sicurezza. Non meno importante è l’investimento nella formazione e nella sensibilizzazione dei dipendenti sui temi della cybersicurezza, poiché la consapevolezza dei rischi informatici e la corretta applicazione delle misure di sicurezza dipendono da una preparazione diffusa a tutti i livelli. Inoltre, l’obbligo di notifica degli incidenti significativi entro 24 ore impone il potenziamento delle procedure e delle strutture dedicate, affinché le organizzazioni siano in grado di rilevare, rispondere e contenere tempestivamente gli incidenti cibernetici, una competenza che richiede personale altamente qualificato e processi ben definiti.
Interagire con le autorità competenti per la gestione delle notifiche e delle crisi rappresenta un’ulteriore sfida, che presuppone una conoscenza approfondita delle procedure e dei requisiti normativi. Anche l’ottenimento del budget necessario per la conformità si rivela spesso problematico, soprattutto per le piccole e medie imprese, mentre molte realtà si trovano a dover affrontare una carenza di competenze specialistiche in materia di sicurezza informatica. In questo contesto, le aziende e le amministrazioni devono affrontare un percorso complesso ma essenziale per garantire una sicurezza adeguata e rispondere efficacemente alle nuove normative.
Quali settori che più hanno bisogno di lavorare per farsi trovare pronti?
I settori identificati come ad alta criticità, come energia, trasporti, banche, sanità, infrastrutture digitali, cloud e fornitori di servizi digitali, devono affrontare sfide significative per prepararsi all’implementazione della Direttiva NIS2. Considerati soggetti essenziali dalla normativa, questi settori sono tenuti a implementare misure di sicurezza adeguate, notificare tempestivamente gli incidenti significativi e collaborare con le autorità competenti.
Il settore energetico, sempre più digitalizzato e interconnesso, è particolarmente esposto agli attacchi informatici, che possono compromettere infrastrutture critiche. Anche il settore dei trasporti, pubblico e privato, rappresenta un obiettivo sensibile, poiché un’interruzione delle sue attività avrebbe gravi ripercussioni sulla mobilità e sull’economia. Nel settore sanitario, l’enorme quantità di dati sensibili gestiti e l’interconnessione delle infrastrutture ospedaliere lo rendono un bersaglio frequente per i cybercriminali. Analogamente, il settore finanziario, per la sua gestione di ingenti quantità di denaro e la sua importanza strategica, rimane una priorità per gli attacchi informatici. Il settore dell’acqua, essenziale per la vita e la salute pubblica, è anch’esso una potenziale vittima di attacchi, mentre le infrastrutture digitali, che comprendono provider di servizi cloud, operatori di telecomunicazioni e produttori di tecnologie IT, giocano un ruolo chiave nella resilienza informatica globale.
Le pubbliche amministrazioni affrontano ulteriori difficoltà, come la persistenza di sistemi informatici obsoleti e difficili da aggiornare, che costituiscono un’eredità tecnologica complessa da gestire. Inoltre, la consapevolezza dei rischi informatici e la cultura della sicurezza non sono sempre radicate, ostacolando la capacità di prevenire e rispondere efficacemente alle minacce. A ciò si aggiunge la limitatezza delle risorse finanziarie e umane, che spesso rende complicata l’implementazione di soluzioni adeguate per affrontare le sfide poste dalla Direttiva NIS2.
In base alla vostra esperienza, quali sono le criticità più frequenti che le organizzazioni si trovano ad affrontare per garantire conformità con NIS2?
Le criticità più comuni nell’implementazione della Direttiva NIS2 riguardano diversi aspetti strategici e operativi, a partire dalla difficoltà di definire con precisione il perimetro di applicazione. Identificare tutti gli asset critici risulta complesso, soprattutto quando si tratta di infrastrutture legacy o sistemi distribuiti, spesso sottovalutati dalle organizzazioni. Questo porta a errori nella valutazione del livello di criticità, poiché determinare con precisione l’impatto di un incidente su determinati asset o processi non è sempre immediato.
Un’altra sfida significativa è rappresentata dalla mancanza di risorse. Molte organizzazioni non dispongono di personale specializzato in cybersecurity in grado di gestire tutti gli aspetti richiesti dalla NIS2 e, spesso, il budget disponibile non è sufficiente per adeguare sistemi e procedure, soprattutto nel caso delle medie imprese. Inoltre, l’obsolescenza tecnologica rappresenta un ulteriore ostacolo: molte realtà utilizzano sistemi legacy difficili da aggiornare e proteggere, rendendo l’integrazione di nuove soluzioni di sicurezza un processo complesso che richiede interventi significativi sulle infrastrutture esistenti.
La gestione dei fornitori è un’altra area critica. Assicurarsi che tutti rispettino standard di sicurezza adeguati può essere una sfida, specialmente per le grandi organizzazioni con numerose partnership. Allo stesso tempo, in settori come energia, trasporti e manifattura, l’integrazione tra tecnologia operativa (OT) e informatica (IT) introduce nuove minacce, amplificando la complessità del panorama di rischio. A ciò si aggiunge la resistenza al cambiamento, con nuovi processi, procedure e strumenti che non sempre trovano immediata accettazione da parte degli utenti.
Tuttavia, la principale criticità rimane la cultura aziendale. Spesso manca un approccio strutturato alla valutazione dei rischi come metodo guida nel processo decisionale. La sicurezza è ancora percepita come un costo obbligatorio e non come uno strumento che può supportare il raggiungimento degli obiettivi di business. Inoltre, in molte organizzazioni, la leadership considera la sicurezza informatica una questione esclusivamente tecnica di competenza del reparto IT. Al contrario, la compliance alla Direttiva NIS2 richiede un coinvolgimento attivo di tutti i livelli organizzativi, trasformando la sicurezza in una responsabilità condivisa e strategica.
Come le organizzazioni possono prepararsi per minimizzare i rischi?
Sarebbe innanzitutto necessario progettare e implementare all’interno dell’organizzazione un processo di analisi e gestione dei rischi legati alla sicurezza delle informazioni. Questo permetterebbe a ogni organizzazione all’interno dell’ambito di applicazione della NIS2 di identificare i rischi, e di analizzarli e valutarli nei termini di minacce, probabilità, vulnerabilità e impatti, definendo un criterio di accettabilità con cui confrontare i rischi così identificati. Dal confronto emergono i rischi che devono essere trattati e per ognuno di essi è poi facile trovare l’opzione di trattamento più idonea a riportare il rischio residuo al di sotto della soglia di accettabilità con costi gestibili da parte dell’organizzazione.
Qual è l’approccio distintivo adottato da Var Group per supportare le aziende e le PA nella gestione degli obblighi introdotti da NIS2?
L’approccio Var Group alla compliance NIS2 si divide in due step successivi. Il primo step prevede un’attività di assessment e gap analysis. In particolare in questa fase viene utilizzato un framework personalizzato di 219 controlli costruito sulla base del Cyber Security Framework del NIST integrato con i requisiti specifici della norma e con controlli presi da altri framework come i Critical Security Controls del Center for Internet Security e da standard come la famiglia ISO/IEC 27000 e la famiglia ISA/IEC 62443 (specifico per gli ambienti IoT/OT). Questo permette di approfondire ogni controllo al giusto livello di dettaglio integrando anche controlli specifici per gli ambienti IoT/OT. L’attività prevede come il rilascio di due deliverables;
- un report che misura la postura di sicurezza dell’organizzazione valutandone il livello di readiness alla compliance, che identifica tutti i GAP, prioritizzandoli per severity, e tutte le azioni di remediation necessarie a portare il cliente dallo stato as-is, iniziale, allo stato to-be desiderato colmando il gap;
- un piano di remediation azionabile che, per ogni azione da effettuare, identifica gli attori che saranno incaricati della sua attuazione, stima i costi dell’organizzazione suddividendoli tra costi interni (effort del personale) e costi esterni (legati all’approvvigionamento di servizi/tecnologie), stima le tempistiche necessarie all’implementazione.
Il secondo step prevede il supporto all’organizzazione nell’implementazione di ogni azione di remediation inclusa nel piano per la quale il cliente riterrà opportuno ricorrere a un aiuto esterno.
Var Group è partner strategico in questo contesto, come?
Le aziende oggi si trovano ad affrontare sfide sempre più complesse, dovute a un panorama digitale in continua evoluzione. Tra queste spiccano le richieste crescenti di compliance normativa, la gestione delle relazioni con terze parti e il contenimento dei costi associati a rischi cyber e potenziali conseguenze legali.
In risposta a queste necessità, ci posizioniamo come un partner strategico con un approccio olistico e integrato. Supportiamo le aziende dalla consulenza al design, dalla compliance all’education, per consentire loro di governare i rischi della trasformazione digitale in modo consapevole e strutturato.
Attraverso un modello GRC (Governance, Risk Management e Compliance), aiutiamo le organizzazioni a definire gli obiettivi di sicurezza, identificare e gestire i rischi informatici e garantire la conformità alle normative. Questo approccio integrato evita la frammentazione degli sforzi, riduce i costi e migliora la visibilità sui rischi, promuovendo decisioni strategiche informate.
La nostra filosofia di sicurezza su misura combina tecnologia, analisi dei comportamenti e formazione per creare una cultura aziendale consapevole. Lavoriamo per bilanciare processi, persone e strumenti, offrendo una sicurezza non solo adeguata, ma perfettamente in linea con le specifiche esigenze di ogni business.
In che modo l’approccio di Var Group garantisce alle organizzazioni non solo la conformità normativa ma anche un miglioramento complessivo nella gestione della sicurezza informatica ed i relativi vantaggi di business?
La conformità alla Direttiva NIS2 rappresenta un’opportunità per migliorare significativamente la gestione della sicurezza informatica delle organizzazioni, offrendo vantaggi tangibili sia sul fronte operativo che per il business. La standardizzazione delle procedure permette di adottare un approccio chiaro, uniforme e coerente alla sicurezza, mentre la valutazione continua dei rischi rafforza la capacità di identificare e mitigare le minacce in modo proattivo. Inoltre, l’obbligo di sviluppare un piano di risposta agli incidenti informatici garantisce una capacità di reazione rapida ed efficace agli attacchi cyber, riducendo l’impatto sulle operazioni.
La formazione e la sensibilizzazione dei dipendenti rappresentano un altro elemento chiave, riducendo il rischio di errori umani, migliorando la capacità di riconoscere le minacce e fornendo gli strumenti necessari per adottare comportamenti adeguati che minimizzano i rischi. L’adozione di misure tecniche e organizzative più rigorose, tra cui la gestione degli incidenti, la formazione del personale e il rafforzamento della continuità operativa, contribuisce ulteriormente a costruire una base solida di sicurezza.
Sul fronte dei vantaggi per il business, uno dei benefici principali è la riduzione dei tempi di inattività. La resilienza operativa consente alle attività di proseguire anche durante gli attacchi, mantenendo la continuità dei servizi, evitando perdite di ricavi e minimizzando le interruzioni. Adottando le misure previste dalla direttiva, le organizzazioni riducono anche il rischio di subire attacchi informatici e le conseguenti perdite economiche e reputazionali.
La compliance alla NIS2 contribuisce inoltre a migliorare la reputazione aziendale, dimostrando un impegno concreto nella protezione dei dati e dei sistemi, il che accresce la fiducia di clienti e partner. Infine, rappresenta un vantaggio competitivo, poiché le organizzazioni che investono nella sicurezza informatica si posizionano come realtà affidabili e resilienti, guadagnando un margine strategico nel mercato.
Quali risorse, competenze e soluzioni specifiche Var Group è in grado di mettere in campo per accompagnare le organizzazioni in questo percorso di adeguamento e trasformazione?
Var Group, attraverso la sua business unit di cybersecurity Yarix, offre risorse, competenze e soluzioni di eccellenza per supportare le organizzazioni nell’adeguamento alla NIS2 e nella trasformazione digitale. Yarix dispone di team altamente specializzati, tra cui esperti di Incident Response, Cyber Threat Intelligence, Red Teaming e un Security Operations Center attivo 24x7x365. Grazie all’integrazione di tecnologie avanzate, tra cui soluzioni basate sull’intelligenza artificiale e strumenti innovativi come Egyda, Yarix garantisce una difesa all’avanguardia.
La sua stretta collaborazione con le Forze dell’Ordine e gli accordi con autorità internazionali, come il FIRST e la Microsoft Intelligence Security Association (MISA), consolidano la sua posizione come partner autorevole nella lotta alla criminalità informatica. Come parte di Var Group, Yarix beneficia dell’accesso a un’ampia gamma di tecnologie leader di mercato, offrendo soluzioni scalabili e personalizzate per rispondere alle complesse esigenze di compliance e sicurezza informatica delle organizzazioni.
Per saperne di più scarica il whitepaper: NIS2, tutto quello che c’è da sapere…
Non perdere tutti gli approfondimenti della Room One Security by Var Group
© RIPRODUZIONE RISERVATA
