La conformità alla NIS2 può essere impegnativa, ma le aziende che le danno priorità saranno molto più preparate a difendersi dalle minacce di cybersecurity attuali ed emergenti
Autore: Christoph Bausewein
La Network and Information Security Directive (NIS2) è la nuova direttiva dell'Unione Europea in ambito di sicurezza informatica. Si basa sulla NIS1 (adottata nel 2016) per creare uno standard leader a livello mondiale di misure di cybersecurity, garantendo che le aziende europee e i sistemi di rete e IT siano saldamente protetti contro le minacce informatiche in continua evoluzione. La NIS2 rappresenta un passo avanti innovativo per la sicurezza informatica aziendale, ma le organizzazioni interessate devono comprendere appieno i passaggi necessari per conformarsi a questa nuova normativa.
Per la conformità alla direttiva NIS2 non si limiterà al semplice acquisto di nuova tecnologia: le aziende dovranno costruire una cultura della sicurezza che vada oltre il dipartimento del CISO e permei l'intera organizzazione. Ad esempio, molte aziende potrebbero avere difficoltà nei seguenti ambiti.
Triage più veloce - Il tempo medio di breakout dell'eCrime - il tempo necessario a un avversario per spostarsi lateralmente da un host inizialmente compromesso a un altro host nell'ambiente della vittima - è sceso a 62 minuti nel 2023, secondo il Global Threat Report 2024 di CrowdStrike. Le organizzazioni devono sapere come individuare e bloccare le minacce prima che si trasformino in incidenti veri e propri.
Capire il cloud - Il cloud è il nuovo campo di battaglia per i difensori informatici e gli avversari. Le intrusioni nel cloud sono aumentate complessivamente del 75% nel 2023 e i cyberattacchi legati al cloud sono aumentati del 110%, secondo il Global Threat Report. Poiché l'adozione del cloud continua a crescere, le organizzazioni devono comprendere e proteggere i loro ambienti cloud.
Analisti onboard e uplevel - Le organizzazioni devono tenere il passo con un panorama di minacce sempre più sofisticato. Data la continua carenza di competenze in materia di sicurezza e la rapida crescita della superficie di attacco, è importante che le aziende scelgano gli strumenti e i servizi di sicurezza giusti per portare gli analisti al passo con il rilevamento, l'identificazione e la risposta alle minacce.
Gestire una miriade di strumenti di sicurezza - Con l'emergere di nuove minacce e sfide per la sicurezza, molte organizzazioni adottano più prodotti puntuali per affrontarle. Così facendo, creano però una ulteriore complessità nei loro ambienti, nuovi problemi nella gestione di numerosi strumenti e lacune nelle loro difese che gli avversari possono sfruttare.
Nonostante queste sfide, l'obiettivo della NIS2 è quello di rafforzare la resilienza delle organizzazioni che operano nell'UE e che svolgono funzioni critiche per la società e l'economia. La NIS2 mira a ridurre le incongruenze nella gestione delle minacce alla sicurezza informatica, ad aumentare la consapevolezza della sicurezza informatica e a migliorare la capacità delle organizzazioni di rispondere agli incidenti.
Gli Stati membri hanno tempo fino al 17 ottobre 2024 per recepire la NIS2 nella loro legislazione nazionale. Di conseguenza, i dirigenti aziendali hanno la responsabilità di adeguare le pratiche di cybersecurity della propria azienda. Le conseguenze della non conformità potrebbero essere multe, danni alla reputazione e perdita di clienti.
Chi è interessato dalla NIS2? Le nuove regole riguardano i soggetti che forniscono servizi o svolgono le loro attività all'interno dell'Unione Europea; operano in settori specifici e svolgono funzioni essenziali o importanti; si qualificano come medie o grandi imprese. Una media impresa, secondo l'articolo 2 dell'allegato alla Raccomandazione 2003/361/CE, ha un numero di dipendenti compreso tra 50 e 249 o un bilancio compreso tra 10 e 43 milioni di euro. Le grandi imprese hanno 250 o più dipendenti o un bilancio di 43 milioni di euro o un fatturato annuo di 50 milioni di euro. Le imprese devono quindi sapere in quale classificazione rientrano per capire come devono adeguarsi.
La compliance alla NIS2 non si limita a disporre della tecnologia necessaria per affrontare gli attacchi informatici, serve anche sviluppare solide best practice e di una cultura generale top-to-bottom in cui ogni membro considera seriamente la cybersecurity. L'impatto della direttiva su un'azienda dipenderà in larga misura dal punto in cui l'organizzazione si trova nel suo percorso di maturità da un punto di vista della sicurezza. Per le aziende che si affacciano per la prima volta su questo percorso, dover pensare per la prima volta alla propria conformità in termini di cybersecurity può rendere l'implementazione della NIS2 un compito impegnativo.
Per i leader aziendali che hanno dato priorità alla creazione di pratiche di sicurezza resilienti e moderne in tutta l'organizzazione, l'impatto della NIS2 potrebbe essere meno gravoso, ma potrebbe comunque presentare alcune sfide. A prescindere dalla posizione dell'azienda, il 2024 richiederà un periodo di adattamento a nuovi standard di cybersecurity, per cui le aziende devono essere preparate.
I leader aziendali possono coinvolgere meglio la propria organizzazione nel percorso di incremento della cybersecurity ricordando che ogni requisito NIS2 si riconduce a tre categorie: persone, tecnologia, processi.
Persone - Le persone all'interno di un'azienda sono tra i fattori più importanti nella costruzione di una solida cultura della cybersecurity. Che si tratti di formare i dipendenti sulle best practice o di assumere esperti di terze parti per servizi di sicurezza e risposta gestiti, i leader aziendali devono riconoscere che una difesa informatica forte richiede la partecipazione dei dipendenti. La formazione dei dipendenti in materia di cybersecurity durante la fase di onboarding e, successivamente, con regolarità, garantisce che la cybersecurity sia sempre al centro dell'attenzione, anche se i dipendenti non sono gli unici a poter influire sulla postura di sicurezza di un'organizzazione. I leader aziendali devono anche lavorare a stretto contatto con i loro partner di sicurezza per garantire che gli incidenti vengano individuati e risolti.
Tecnologia - I leader aziendali devono assicurarsi che la loro azienda disponga della giusta tecnologia per difendersi dalle minacce informatiche. L'infrastruttura tecnologica spesso si complica con l'espansione dei sistemi e l'acquisizione di nuove soluzioni. Questa crescita tecnologica crea nuovi rischi, in quanto i security team devono monitorare e proteggere più cose. La scelta di una piattaforma di sicurezza consolidata che offra funzionalità integrate aiuta a coprire questi punti deboli e a semplificare le difese informatiche.
Processi - I processi di cybersecurity devono evolversi costantemente per restare al passo con gli attaccanti. Ciò significa che i leader aziendali e i CISO devono avere una solida padronanza dei processi di cybersecurity, come le policy di sicurezza, la gestione degli incidenti, la gestione dei rischi e l'auditing, per aiutare l'intera organizzazione ad affrontare un panorama di minacce in continua evoluzione.
Christoph Bausewein è Assistant General Counsel, Data Protection & Policy CrowdStrike