La direttiva NIS 2 rappresenta una sfida per le imprese e gli enti italiani, ma è anche un importante stimolo per avviare o potenziare un percorso di innalzamento dei livelli di sicurezza informatica che è ormai indispensabile
Autore: Denis Valter Cassinerio
Il settore della cybersecurity in Italia continua a registrare una crescita significativa, sostenuta principalmente dai nuovi processi di digitalizzazione avviati dalle imprese, dall’utilizzo di applicazioni cloud e dalle nuove normative. Secondo l’ultimo Rapporto Clusit, il nostro Paese è sempre più nel mirino del cybercrime, trend confermato dall’incremento degli attacchi gravi pari al 65% nel 2023 rispetto all’anno precedente che ha portato il totale degli incidenti gravi analizzati a quota 2.779. Anche i MSSP continuano a attirare l’interesse delle aziende ma anche degli aggressori. In Italia, secondo l’Acronis Cyberthreats Report H1 2024, il 6% degli attacchi (6 su 98) in un periodo di 8 mesi ha preso di mira gli MSP e società di consulenza IT. Un’evidenza che richiede anche ai security provider di sfruttare al massimo le nuove tecnologie per rilevare in modo proattivo le minacce, prevenirle e rispondere rapidamente.
Per contenere il problema, il governo italiano ha definito una serie di interventi legislativi, tra cui il Perimetro Nazionale di Cybersecurity, un insieme di norme volte a proteggere le infrastrutture critiche del Paese, e, a breve, il recepimento della Direttiva NIS 2, promossa dalla Commissione Europea con l'obiettivo di rafforzare la sicurezza informatica in tutta la CE. La prima Direttiva NIS (Reti e Sistemi Informativi) è entrata in vigore nel maggio 2018 con l’obiettivo di raggiungere lo stesso livello di sicurezza delle reti e dei sistemi informativi in tutta l’UE. La Direttiva NIS 2, invece, è stata presentata il 17 gennaio 2023 e dovrà essere recepita dai singoli Stati membri entro il 17 ottobre 2024, per rafforzare ulteriormente le misure di sicurezza, contare su standard più elevati per la protezione di reti e sistemi informativi essenziali, ampliando il raggio d’azione a nuovi settori.
NIS2 aumenta il livello di protezione, estende l’ambito di applicazione e introduce norme, deadline e sanzioni condivise fra tutti gli Stati membri. L’obiettivo è colmare le lacune della precedente direttiva, adattando le procedure e i controlli alle esigenze attuali e rendendoli, per quanto possibile, pronti per il futuro. Inoltre, amplia il campo di applicazione includendo nuovi contesti in base al loro grado di digitalizzazione e importanza per le attività economiche e sociali. In particolare, la direttiva copre tutte le organizzazioni che forniscono servizi identificati come essenziali o importanti per l'economia europea, come le aziende che operano nei settori dell'energia, dei trasporti, di banche e servizi del mercato finanziario, della sanità, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali. Le misure includono il controllo degli accessi e l’applicazione di privilegi minimi, una solida autenticazione a più fattori e misure per scoraggiare, rilevare o prevenire minacce pericolose, come il ransomware.
La direttiva impone alle aziende di implementare una serie di misure di sicurezza informatica, oltre che tempi (e sanzioni) altrettanto precisi, tra cui:
Gestione e valutazione del rischio: le organizzazioni sono tenute a implementare piani e procedure completi di gestione del rischio, garantendo che possano identificare, valutare e mitigare i rischi informatici. Per rispondere a questi requisiti, le aziende possono adottare sistemi avanzati di monitoraggio delle minacce, che utilizzano l’automazione e l’intelligenza artificiale per analizzare continuamente i potenziali rischi. Le valutazioni automatizzate dei rischi e gli avvisi sulle minacce in tempo reale aiutano le organizzazioni a gestire in modo proattivo le vulnerabilità e a rispondere alle minacce prima che si intensifichino.
Gestione e segnalazione degli incidenti: le aziende devono sviluppare strategie per il rilevamento, la segnalazione e la mitigazione degli incidenti. Gli incidenti gravi devono essere segnalati alle autorità entro tempi rigorosi: un rapporto iniziale entro 24 ore e un rapporto dettagliato entro un mese. Le moderne soluzioni di risposta agli incidenti che integrano il rilevamento basato sulla AI e protocolli di risposta automatizzati consentono alle aziende di gestire gli incidenti in modo efficiente, garantendo il rispetto delle scadenze di reporting richieste. Questi sistemi aiutano inoltre a mitigare l’impatto dei cyber attack isolando rapidamente le minacce e prevenendone la diffusione.
Continuità aziendale e ripristino di emergenza: un requisito fondamentale è garantire la resilienza operativa attraverso solidi piani di backup e ripristino di emergenza. Le aziende possono trarre vantaggio da soluzioni automatizzate di ripristino che forniscono backup continui, oltre a un monitoraggio in tempo reale e a funzionalità di failover automatizzate. Questi sistemi garantiscono che, in caso di interruzione, i dati critici siano protetti e le operazioni possano riprendere rapidamente, riducendo al minimo i tempi di inattività.
Sicurezza della supply chain: le aziende devono anche valutare e gestire i rischi per i fornitori e partner terzi, poiché gli attacchi alla supply chain sono in aumento. Una valida strategia di cybersecurity deve includere strumenti di monitoraggio capaci di rilevare anomalie e vulnerabilità all’interno dei sistemi di terze parti. Funzionalità forensi, condivisione sicura dei file e processi di autenticazione a più livelli possono contribuire a garantire che qualsiasi interazione con i partner sia sicura e conforme agli standard NIS 2.
Il rispetto della NIS 2 comporterà ulteriori sfide per le imprese poiché la direttiva non è limitata solo alle grandi società. Anche le aziende di medie dimensioni sono soggette alle nuove regole, ampliando significativamente l’ambito di conformità. Sono inoltre previste dettagliate disposizioni circa l’implementazione delle tecnologie di cybersecurity necessarie, la formazione del personale e l’allineamento agli standard normativi con un aumento inevitabile dell’impegno e dei costi operativi. Va inoltre considerato che l’Italia, come altri paesi, ha registrato un aumento di attacchi alla supply chain. Ciò è particolarmente preoccupante per i fornitori di servizi gestiti (MSP) e le società di consulenza che spesso in Italia fungono da intermediari e hanno accesso a più reti di clienti.
In termini generali, il report sulle minacce ransomware rilevate in Italia mostra tendenze e statistiche che impongono miglioramenti nelle misure di sicurezza informatica e confermano la vulnerabilità tuttora elevata di vari settori. Nei primi cinque mesi del 2024, l’Italia ha registrato 56 attacchi ransomware, in diminuzione rispetto agli 86 dello stesso periodo del 2023. Una tendenza positiva, legata a una riduzione delle debolezze sfruttabili o migliori processi di sicurezza, tuttavia, il numero di attacchi rimane significativo, il che indica che il ransomware è ancora una minaccia persistente. Ad oggi l’Italia è al quinto posto a livello mondiale per numero di attacchi denunciati nel 2024.
Nei primi cinque mesi del 2024 i gruppi 8base e LockBit 3 sono stati i più attivi in Italia. Il gruppo 8base ha rappresentato il 21% del totale degli attacchi ransomware, mentre LockBit 3 il 18,3%. Entrambi i gruppi utilizzano spesso e-mail di phishing per fornire allegati o collegamenti dannosi. Queste e-mail spesso sembrano legittime e inducono i destinatari ad aprirle e a installare inavvertitamente malware. L'altro vettore iniziale è lo sfruttamento delle vulnerabilità note nei software e nei sistemi, in particolare quelli a cui non sono state applicate le patch. Un’altra modalità sfruttata dagli aggressori è l’utilizzo di credenziali rubate o deboli per ottenere l’accesso alle reti ed entrambi i gruppi sfruttano connessioni RDP deboli o protette in modo improprio per tale fine.
I dati di telemetria Acronis da gennaio 2024 a maggio 2024 mostrano una lieve diminuzione dei rilevamenti di malware, sebbene rimangano una preoccupazione significativa. Anche i rilevamenti degli URL, pur fluttuando, hanno avuto una tendenza simile ovvero al ribasso.
Tuttavia, pur assistendo ad alcuni trend in decremento, non possiamo tuttavia sottovalutare che l’Italia rimane fra gli obiettivi prioritari degli hacker. Inoltre, se da una parte l’uso dell’intelligenza artificiale e del machine learning permette di identificare e mitigare le minacce in modo più efficace, dall’altra questa stessa tecnologia consente ai criminali informatici di sviluppare attacchi sempre più sofisticati, più velocemente e su più vasta scala. Come evidenziato, nei primi otto mesi del 2024, sei dei 98 attacchi ransomware in Italia hanno preso di mira specificamente MSP e società di consulenza IT. Ciò conferma che le minacce cyber continuano a essere reali imponendo misure di sicurezza anche all’interno della catena di approvvigionamento.
In questa direzione, il recepimento della direttiva NIS 2 rappresenta una sfida per le imprese e gli enti italiani, ma è anche un importante stimolo per avviare o potenziare un percorso di innalzamento dei livelli di sicurezza informatica indispensabile per lo sviluppo non solo digitale del nostro Paese.
Denis Valter Cassinerio è General Manager South Europe, Balkans & Turkey EMEA di Acronis