Stefano Alei, Digital Transformation Architect di Zscaler, ci parla di NIS2 e dell’importanza di scegliere un approccio Zero Trust per essere conformi.
La Direttiva NIS2, acronimo di Network and Information Security Directive 2, rappresenta un pilastro fondamentale nella difesa delle reti e delle informazioni digitali nell’Unione Europea. Essa mira a migliorare il livello di sicurezza delle reti e dei sistemi informativi, non solo per proteggere i dati sensibili e le infrastrutture critiche, ma anche per preservare la fiducia dei cittadini e delle imprese nell’utilizzo dei servizi digitali.
La sua importanza risiede nella crescente interconnessione delle infrastrutture digitali, che rende sempre più critica la protezione dalle minacce informatiche, come attacchi hacker, malware e violazioni della privacy. La NIS2 si propone di affrontare queste minacce attraverso un approccio armonizzato a livello europeo, promuovendo la collaborazione tra Stati membri e settori pubblico e privato.
Le aziende devono essere conformi alla Direttiva NIS2 e ciò impone loro di adottare misure specifiche per proteggere le loro reti e i loro sistemi informativi. Ciò include la notifica obbligatoria di incidenti di sicurezza informatica alle autorità competenti, la designazione di responsabili della sicurezza informatica e l’implementazione di meccanismi di gestione dei rischi.
NIS2 introduce e chiarisce le responsabilità in quattro aree principali
Governance: gli organi di gestione delle entità essenziali e importanti approvano le misure di gestione del rischio di cybersecurity adottate da tali organizzazioni, ne sorvegliano l’attuazione e possono essere ritenuti responsabili in caso di violazioni.
Gestione dei rischi: le misure si basano su un approccio a 360° che, includendo tutti i rischi, mira a proteggere i sistemi di rete e informativi e l’ambiente fisico di tali sistemi dagli incidenti e deve comprendere almeno quanto segue:
policy sull’analisi dei rischi e sulla sicurezza dei sistemi informativi;
gestione degli incidenti;
continuità operativa, come la gestione dei backup e il ripristino in caso di disastro, e gestione delle crisi;
sicurezza della supply chain, compresi gli aspetti relativi alla sicurezza riguardanti le relazioni tra ciascun ente e i suoi diretti fornitori o fornitori di servizi;
sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità.
Condivisione e segnalazione alle autorità: gli enti essenziali e importanti notificano, senza indebito ritardo, al proprio CSIRT (Computer Security Incident Response Team) o, se del caso, all’autorità competente qualsiasi incidente che abbia un impatto significativo sulla fornitura dei loro servizi.
Continuità operativa: l’obiettivo finale della direttiva NIS2 è garantire la continuità di tali servizi in caso di incidenti, contribuendo così alla sicurezza dell’Unione e al funzionamento efficiente della sua economia e della sua società. A questo scopo è fondamentale rafforzare la cybersecurity in tutta l’Unione, mitigare le minacce ai sistemi di rete e di informazione utilizzati per fornire servizi essenziali in settori chiave.
I rischi e i problemi a cui le aziende andranno incontro se non saranno conformi alla NIS2, direttiva recepita lo scorso 10 giugno in via preliminare tramite un decreto legislativo del Presidente del Consiglio dei Ministri, sono molteplici e significativi. Innanzitutto, potrebbero essere soggette a sanzioni e multe considerevoli da parte delle autorità di regolamentazione, ma anche arrivare alla sospensione delle funzioni dirigenziali per i vertici aziendali che non si siano adeguati alle nuove norme. In secondo luogo, potrebbero subire danni alla reputazione e perdite finanziarie a causa di violazioni dei dati o interruzioni dei servizi, con conseguenti perdite di clienti e fiducia del pubblico. Infine, potrebbero trovarsi escluse da appalti pubblici o partnership commerciali a causa della mancanza di adeguata conformità normativa.
Superare le sfide: il ruolo di Zscaler
La direttiva NIS2 stimola la responsabilità delle aziende nel garantire la sicurezza delle reti e dei sistemi informativi con una cultura di governance e una gestione completa dei rischi. Le aziende devono adottare misure tecniche, operative e organizzative proattive per gestire i rischi legati alla sicurezza delle reti e dei sistemi informativi. Zscaler offre funzionalità di sicurezza complete con la sua piattaforma di sicurezza cloud Zero Trust Exchange ottimizzata dall’intelligenza artificiale e progettata per aiutare le aziende a ridurre al minimo la superficie di attacco e garantire l’efficacia dei controlli di sicurezza applicati nell’ambito del programma di governance e gestione del rischio dei clienti con l’aiuto di:
Zscaler Internet Access e Zscaler Private Access – forniscono protezione dalle minacce, protezione dei dati e applicazione delle policy controllando i flussi di traffico sia verso applicazioni Internet/SaaS e applicazioni interne. Inoltre, forniscono log dettagliati di eventi e transazioni di sicurezza fondamentali per il monitoraggio e le indagini sulla sicurezza.
Riduzione della superficie di attacco – lo Zero Trust Exchange garantisce che gli utenti non siano posti nella rete e che le applicazioni non siano mai esposte direttamente, riducendo in modo significativo la superficie di attacco. Inoltre, fornisce una granulare policy di controllo degli accessi alle applicazioni Zscaler Risk360 – consente una efficiente quantificazione del rischio informatico, offre visualizzazioni intuitive dei rischi e dei fattori di rischio, dettagli sull’esposizione finanziaria oltre alla reportistica necessaria al top management.
La direttiva NIS2 è un atto legislativo che mira ad aumentare il livello minimo di sicurezza informatica in tutta l’Unione Europea, prevede inoltre di espandere la base di applicazione, includendo più settori merceologici e riducendo la dimensione delle aziende, di armonizzare la condivisione delle comunicazioni e di far rispettare la conformità non solo imponendo multe, ma anche con potenziali problemi legali per i team di gestione.
In conclusione, la conformità alla Direttiva NIS2 non è solo un obbligo legale, ma anche una necessità strategica per le aziende che desiderano proteggere i propri interessi, garantire la continuità operativa e mantenere la fiducia dei propri clienti e partner commerciali.
