Direttiva NIS2, per le aziende non solo obblighi ma anche opportunità

Tra gli obiettivi generare un potenziale cambiamento di mentalità nell'approccio alla sicurezza.

Zscaler Resilience direttiva nis2

Direttiva NIS2: Stefano Alei, Transformation Architect di Zscaler, approfondisce alcuni aspetti dai quali partire per un nuovo approccio sia tattico che strategico alla sicurezza.

Ormai tutti i Ciso e i dirigenti europei dovrebbero essere a conoscenza della scadenza della direttiva NIS2, il 17 ottobre 2024. Gli Stati membri dell’Unione Europea hanno dovuto adottare e pubblicare le misure necessarie per conformarsi alla direttiva entro il 18 ottobre 2024. Belgio, Francia, Germania e Italia hanno già emanato i decreti di recepimento della direttiva, anche se alcuni sono ancora in fase preliminare. La buona notizia è che le cose stanno progredendo in vista della scadenza.

Nell’UE diversi i livelli di avanzamento, la direttiva NIS2

Siamo tutti consapevoli che l’obiettivo della NIS2 è quello di ampliare l’ambito di applicazione e rafforzare i requisiti di sicurezza in tutti i Paesi dell’UE. Oltre ad aumentare il livello di protezione di base, armonizzare la condivisione delle comunicazioni e ottenere la conformità alla normativa. E questo non solo attraverso multe per chi non la rispetterà, ma anche con potenziali conseguenze legali per la dirigenza. Al momento riscontriamo diversi livelli di avanzamento all’interno dell’Unione Europea in termini di adozione, comprensione e finanziamenti per la conformità. Tuttavia, la maggior parte dei responsabili delle iniziative di conformità alla direttiva NIS2 è fiduciosa sul risultato finale di aumentare la sicurezza della propria azienda.

L’obiettivo di conformità pari passo con un cambio di tecnologia

La direttiva potrebbe fornire un impulso capace di generare un potenziale cambiamento di mentalità nell’approccio complessivo alla sicurezza e nei relativi risultati. Qualora le aziende rilevassero importanti lacune nella loro infrastruttura di sicurezza, i punti seguenti potrebbero rivelarsi utili per una revisione dell’assetto della sicurezza. Qui di seguito approfondiamo due aspetti come base per un nuovo approccio sia tattico che strategico alla sicurezza. Innanzitutto è opportuno spiegare perché la piattaforma Zscaler Zero Trust Exchange è adatta ad aiutare le aziende a raggiungere l’obiettivo di conformità in tempi brevi. In secondo luogo, perché ha un ulteriore potenziale come motore di sviluppo per fare un salto in avanti.

nis2

Direttiva NIS2

La piattaforma Zscaler indirizza i requisiti della NIS2. Nella direttiva è infatti scritto (preambolo 89) che: “Le entità essenziali e importanti dovrebbero adottare un’ampia gamma di pratiche di igiene informatica di base, come i principi Zero Trust, gli aggiornamenti del software, la configurazione dei dispositivi, la segmentazione della rete, la gestione dell’identità e dell’accesso o la consapevolezza degli utenti, organizzare la formazione del proprio personale e sensibilizzarlo in merito alle minacce informatiche, al phishing o alle tecniche di social engineering”.

Le molte criticità di una tecnologia oramai datata

Risulta evidente che il framework Zero Trust viene posto in primo piano, mentre nel documento non si fa alcun riferimento alle VPN (Virtual Private Network). È risaputo che questa storica tecnologia, che ha offerto un servizio efficace agli utenti per molti anni, è ormai divenuta un punto critico in termini di sicurezza. L’ultimo ThreatLabz VPN Risk Report 2024 di Zscaler evidenzia i pericoli nell’utilizzo di una tecnologia datata. Il 92% degli intervistati è preoccupato che terze parti possano fungere da potenziali backdoor nelle loro reti attraverso l’accesso VPN.

Direttiva NIS2, per le aziende non solo obblighi ma anche opportunità

La gestione delle terze parti rappresenta un elemento cruciale all’interno della direttiva NIS2, poiché l’intera catena del valore deve essere tutelata da tutti gli stakeholder coinvolti. Per questo motivo, la NIS2 richiede la convalida dell’intera filiera prima della sua adozione e impone la due diligence per mitigare i rischi associati. Nel rapporto di Zscaler NIS2 & Beyond: Risk, Reward & Regulation Readiness di aprile 2024, abbiamo scoperto che oltre il 95% delle aziende ha iniziato a implementare soluzioni Zero Trust o, almeno, ha pianificato di farlo.

La centralità della formazione interna

Per conformarsi alla NIS2, le imprese non solo hanno bisogno di tecnologie innovative, ma anche di migliorare le proprie procedure e di formare la propria forza lavoro. È una questione di “persone, processi e tecnologie”. La piattaforma Zero Trust Exchange (ZTE) di Zscaler soddisfa ampiamente la maggior parte delle specifiche tecniche previste dall’articolo 21 della direttiva. Inoltre, Zscaler è in grado di offrire indicazioni e best practice relative alle procedure da adottare, avvalendosi dell’esperienza del proprio Customer Success team.

Un approccio complessivo dei rischi

Una delle sfide più comuni che le aziende devono affrontare riguarda il requisito della direttiva NIS2. Secondo il quale: “le misure devono basarsi su un approccio complessivo ai rischi, volto a proteggere la rete e i sistemi informativi”. Questo obiettivo è complesso da raggiungere attraverso una singola tecnologia, il che potrebbe comportare la gestione di una moltitudine di fornitori e un aumento della complessità. La piattaforma ZTE offre una soluzione completa, capace di fornire tutti gli strumenti necessari per proteggere, semplificare e trasformare l’azienda.

Le funzionalità attivate

Le funzionalità possono essere attivate progressivamente, man mano che l’azienda è pronta ad adottarle, semplicemente abilitando le licenze corrispondenti. Ad esempio, è possibile proteggere il traffico Internet/SaaS, garantire l’accesso sicuro alle applicazioni private, monitorare dispositivi, reti e applicazioni, oltre a implementare la protezione dei dati, il CASB e il logging. Successivamente, si potrebbe valutare l’adozione di una soluzione di Zero Trust Networking, o le innovative funzionalità di gestione del rischio e protezione delle identità, con ulteriori funzionalità disponibili secondo necessità.

Supportare la trasformazione digitale

La piattaforma ZTE di Zscaler può aiutare i clienti a raggiungere il loro obiettivo di sicurezza, ma non si limita a proteggere l’infrastruttura, la semplifica anche. Gli ambienti complessi sono generalmente difficili da gestire, piuttosto costosi, ardui in caso di troubleshooting e richiedono tempi più lunghi per il rilascio di nuovi servizi. Lo scopo ultimo dello Zero Trust Exchange di Zscaler è massimizzare il valore fornito alle aziende e supportare la trasformazione digitale attraverso l’abilitazione delle risorse critiche. Queste consentono al business (persone, app, dispositivi/oggetti e dati) di operare nel modo più efficiente, scalabile e sicuro possibile. Eliminando al contempo la tradizionale complessità dell’IT, fornendo visibilità e strumenti, di cui l’azienda ha bisogno per prendere decisioni tempestive, riducendo al minimo il rischio aziendale e massimizzando i profitti nel processo.

Direttiva NIS2

Zero Trust Exchange elimina la superficie di attacco rendendo le applicazioni invisibili a Internet. Inoltre, poiché il traffico non interagisce direttamente con la rete, viene impedita qualsiasi possibilità di spostamento laterale. Questo approccio, in definitiva, riduce in modo significativo il rischio per l’azienda di essere vittima di ransomware, altre minacce informatiche. Nonché di perdite di dati, sia accidentali che intenzionali.