La direttiva NIS2 specifica che le aziende devono applicare in maniera estesa lo zero trust e condividere le esperienze relative agli attacchi: il parere di Fabio Panada, Security Architect di Cisco Italia.
La NIS2 (Network and Information Security Directive, UE 2022/2555) è entrata in vigore il 17 gennaio 2023 (il 16 ottobre 2024 in Italia) ed è un aggiornamento cruciale nella legislazione dell’Unione Europea per la sicurezza delle reti e delle informazioni. La NIS2 mira a stabilire una strategia comune di cybersecurity per tutti gli Stati membri, elevando i livelli di sicurezza dei servizi digitali su scala europea. Si integra con altre normative e linee guida sulla protezione dei dati e della privacy, come il GDPR, il Regolamento DORA (Digital Operational Resilience Act), il Cyber Resilience Act.
NIS2 amplia la precedente direttiva NIS con una serie di cambiamenti significativi. In primo luogo, elimina la distinzione tra gli operatori di servizi essenziali (OSE) e i fornitori di servizi digitali (DSP), introducendo nuove categorie di operatori basate sull’importanza del servizio offerto. Inoltre, estende gli obblighi di cybersecurity a un numero maggiore di settori e servizi considerati critici per il funzionamento socioeconomico dell’UE. Questi ora includono piattaforme di cloud computing, data center e servizi sanitari. La direttiva stabilisce anche un quadro più dettagliato per le misure di sicurezza, richiedendo un approccio multirischio e la segnalazione tempestiva di incidenti significativi alle autorità competenti.
– Cosa consiglia Cisco alle aziende per la conformità alla direttiva NIS2?
Le imprese devono fare innanzitutto un’analisi per evidenziare cosa manca per essere conformi alle novità, ma senza l’ansia dell’ultima ora, perché ci sono ancora i tempi tecnici per fare questo passaggio. In pratica le società devono registrarsi nel portale dedicato e di seguito l’Agenzia per la Cybersicurezza Nazionale valuterà quali soggetti sono importanti e quali essenziali.
Bisogna stabilire in maniera precisa gli aggiornamenti necessari per adeguare le politiche di sicurezza ai nuovi standard richiesti dalla NIS2. Inoltre, è necessario potenziare la formazione, che con la nuova direttiva deve essere estesa a tutti i dipendenti. Non si può dimenticare poi il rafforzamento della gestione degli incidenti, dato che ora serve un programma efficace per trattarli, ovvero bisogna definire le tecnologie, i processi, i servizi per rilevare gli incidenti informatici e riferire agli enti preposti entro 24 ore (entro 72 ore con i dettagli dell’attacco).
La nuova direttiva specifica anche che le aziende devono applicare in maniera estesa i principi dello zero trust e condividere le esperienze relative agli attacchi informatici, non solo a livello nazionale ma anche europeo. Per questo servirà una sorta di framework collaborativo, perché NIS2 allarga in maniera importante il numero di aziende coinvolte. Si parla di decine di migliaia di imprese.
Molte aziende entreranno per la prima volta nell’ambito della direttiva NIS2. Queste società dovranno affrontare un percorso totalmente nuovo per loro, un percorso che però altre imprese già conoscono. Una piattaforma di condivisione sarà molto utile anche per mettere in comune le esperienze riguardanti le operazioni necessarie per raggiungere la conformità alla nuova normativa.
Da notare però che questo framework non è ancora stato definito, mancano ancora tutti i dettagli tecnici al riguardo.
– Come si traduce in pratica la resilienza informatica raccomandata da NIS2?
Le imprese devono predisporsi per valutare periodicamente il livello di rischio, non solo per la sicurezza IT ma anche per tutti gli altri aspetti dell’azienda, anche dal punto di vista fisico: si tratta di arrivare a una resilienza a 360°. Perciò la sicurezza deve essere un tema importante, deve essere addirittura svincolata dall’IT e portata all’attenzione del board direttivo.
Di più, la gestione della sicurezza deve essere estesa ai fornitori, per coprire l’intera supply chain. Si tratta di un cambiamento molto importante, che con ogni probabilità metterà in difficoltà molti marchi.
In sostanza, bisogna approntare veri e propri processi di controllo e di verifica della sicurezza, secondo un percorso che porterà a un miglioramento generalizzato della resilienza di tutti gli attori industriali europei.
– Cisco Cyber Readiness Index: quali informazioni si ricavano relativamente alle minacce per le aziende?
Stiamo vivendo un periodo molto turbolento, non solo nel mondo dell’IT. Tra i molti aspetti critici, uno su tutti sta diventando dominante: l’intelligenza artificiale, che è sempre più pervasiva e che è già presente nella nostra vita, sia lavorativa sia privata. Uno dei problemi più importanti relativi all’AI è che è usata anche dai cyber criminali per sferrare potenti attacchi, sempre più sofisticati. Il ransomware e il phishing sono i tipi di attacchi più usati, ma il panorama delle minacce cyber è molto più ampio e complesso.
Leggendo i dati contenuti nel report Cyber Readiness Index di Cisco, si vede che solo il 3% delle aziende europee può essere considerato maturo dal punto divista della cybersecurity e che più del 60% degli intervistati si aspetta nei prossimi due anni almeno un attacco informatico.
In generale, le imprese si ritengono relativamente pronte per quanto riguarda la sicurezza, sia in ambito di rete sia nel settore dell’intelligenza artificiale. Si sentono invece meno preparate nella gestione del cloud e nella parte di identity, che oggi è un po’ la nuova frontiera. L’identità è il nuovo perimetro e stanno nascendo (alcuni sono già disponibili) strumenti specifici per gestire l’identity aziendale.
Se non altro è positivo che il budget per gli investimenti in ambito di servizi di sicurezza sia aumentato negli ultimi due/tre anni e si prevede che aumenterà ancora nel prossimo futuro.
C’è spazio per migliorare in termini di maturità: nell’assessment di Cisco si vede che ogni anno si registrano nuove attività, perché la sicurezza è un settore molto dinamico. Questo vale per l’Europa ma è un concetto estendibile anche all’America e all’Asia, perché in questo campo non c’è molta differenza tra le principali aree geografiche.
– Qual è il rapporto di Cisco con gli MSP/MSSP?
Cisco ha una collaborazione di lunga data con gli MSP e gli MSSP (Managed Service Provider e Managed Security Service Provider). Questa partnership si è evoluta nel tempo e include molte attività diverse, tra cui formazione e sviluppo del mercato. L’azienda ha istituito un sistema di certificazione per le reti, che mette in primo piano la sicurezza, inoltre offre indicazioni tecnico-commerciali per i partner.
Il marchio è attivo anche nell’organizzazione di corsi, per le scuole a vari livelli, le aziende e i partner. Questi corsi sono utili per sostenere lo sviluppo di specialisti in ambito security network e, grazie a questi programmi, le persone certificate ogni anno sono migliaia. Cisco mette a disposizione dei service provider un team di esperti e organizza ogni anno Cisco Live, un evento per stimolare la condivisione delle conoscenze. Inoltre, il brand predispone incontri specifici per i partner e gli MSP/MSSP.
L’azienda sviluppa anche tecnologie specifiche per gli MSP/MSSP, come Cisco XDR, pensato per dare la possibilità di creare servizi per i loro clienti finali. La recente acquisizione di Splunk ha dato nuova energia allo sviluppo di queste soluzioni, nonostante le due aziende siano ancora in fase di integrazione dei propri prodotti.
– Come Cisco supporta i clienti nel rafforzamento della loro cyber posture?
La direttiva NIS2 richiede che le aziende migliorino la loro cyber posture e Cisco ha diverse soluzioni a portfolio, a livello sia tecnologico sia di servizi, che possono aiutare in questo senso. L’approccio del marchio è molto integrato e pervasivo, tanto è vero che copre molte aree della security, dall’end point al cloud, passando per la rete e le applicazioni.
Poco tempo fa Cisco ha annunciato Hypershield, la prima soluzione di sicurezza basata esclusivamente sull’AI, che permette di proteggere i data center tramite tecnologie innovative. L’azienda offre anche Talos, un gruppo di ricerca e sviluppo che lavora non solo per Cisco ma anche per la comunità informatica mondiale.
Per i clienti, il brand mette a disposizione vari servizi, tra cui Cisco Emergency Response, che si applica bene ai dettami della NIS2. Il cliente può richiedere questo servizio in maniera preventiva, per valutare con il marchio i piani di gestione di un attacco, oppure durante la crisi, per avvalersi dei servizi che Cisco offre in situazioni di questo tipo.