Parliamo di Nis 2, la nuova direttiva UE sulla sicurezza informatica, con Antonio Forzieri, EMEA Cyber Security Specialization and Advisory, Splunk.
In che modo la direttiva Nis 2 influirà sulle operazioni di sicurezza informatica delle imprese?
Ritengo che la direttiva Nis 2 costituisca una grandissima opportunità per allineare la strategia di cyber security aziendale al perimetro delle organizzazioni che, storicamente, hanno investito di più nella sicurezza. Questo sia in termini di un mercato verticale specifico di appartenenza (si pensi al settore finanziario o energia) sia in termini di dimensioni ed esposizione. In qualità di esperto di cyber security da ormai 20 anni, ricordo quando agli inizi la gente raccomandava la sicurezza (così veniva definita allora) e doveva essere portata all’attenzione del Consiglio di amministrazione. Oggi, fortunatamente, questa è ormai una realtà, anche se relativamente recente, per le grandi organizzazioni e in alcuni mercati verticali, ma non per tutte le aziende che rientrano nella direttiva Nis 2.
Se il fatto di portare la cybersecurity all’attenzione del board è qualcosa che si sta affermando e lentamente diffondendo in tutti i settori, l’adozione di un approccio multirischio e la gestione della security della supply chain (aspetti previsti, appunto, dalla direttiva Nis 2) sono elementi più complessi da osservare anche da parte delle grandi organizzazioni. Questo comporterà un grande cambiamento per molte, moltissime aziende anche dal punto di vista tecnologico: rispetto all’attenzione della network security, della gestione e della divulgazione delle vulnerabilità (una vera croce per moltissime realtà) o verso l’uso della crittografia e della strong authentication (o autenticazione a più fattori).
Esse sono solo alcune delle misure richieste dalla direttiva Nis 2, insieme alla relativa applicazione dei principi che ne sono alla base (e che, spesso, definisco l’abc della Cybersecurity). Quest’ultima risulta essere molte volte incompleta e causa di compromissioni di cui leggiamo, a volte, sulla stampa. Sul fronte più specifico delle SecOps, le richieste di monitoraggio degli ambienti IT e OT e il fatto che la loro responsabilità afferisca a un unico CISO, con relativi tempi di notifica degli incidenti, impegneranno maggiormente il comparto SecOps. In Italia abbiamo già avuto occasione, con il Gdpr prima, e successivamente con il Psnc, di osservare realtà che tendono a “sovrasegnalare” potenziali incidenti per evitare di incorrere in sanzioni. È quello che risulta dallo State of Security Report di Splunk, dove questi eventi sono segnalati dal 63% degli intervistati. Da un lato, crediamo che questa eccessiva comunicazione potrebbe avere un impatto sul fronte della brand reputation. Dall’altro, potrebbe contribuire a rafforzare la security posture dell’azienda stessa in primis e dello Stato in secondo luogo.
Quali sono le principali sfide che le aziende potrebbero affrontare nell’attuazione della direttiva Nis 2?
In termini di implementazione da parte delle grandi aziende, non prevediamo particolari criticità, se non quelle che fanno già parte del Nis 2 e del Psnc, in quanto sono già in atto diverse attività e previsti step che rafforzano la security posture attraverso un approccio basato sul rischio. Invece, per quanto riguarda il controllo di security della supply chain, bisognerà prevedere un ulteriore sforzo.
In realtà, non sono molto numerose le aziende che hanno una funzione di Tprm (Third Party Risk Management). Forti della spinta richiesta da altre normative, come Dora ad esempio, dovremmo piuttosto orientarci nella realizzazione di qualcosa davvero funzionale. L’Enisa (Agenzia dell’Unione Europea per la Cybersecurity) ha identificato, tra le principali sfide per le pmi, una scarsa consapevolezza e una necessità di sostegno alla gestione della cybersecurity, protezione inadeguata delle informazioni critiche e sensibili, problemi di bilancio, mancanza di competenze e di personale in materia di cybersecurity in ambito ict, mancanza di linee guida adeguate.
A partire dal 18 ottobre 2024, la direttiva Nis 2 verrà formalmente attuata ed entrerà successivamente in vigore. Per alcuni settori, le imprese dovranno adottare misure di sicurezza informatica adeguate e segnalare incidenti gravi entro 24 ore. Questa timeline particolarmente stringente obbliga le aziende ad intervenire già ora per raggiungere la conformità.
Anche l’aumento dei costi necessari per l’implementazione e il mantenimento di tali controlli di sicurezza è determinante, soprattutto per le pmi. In uno studio condotto dall’Enisa, gli intervistati hanno risposto che “le vpn sono costose e ingombranti”, “l’antivirus e altre misure di sicurezza software sono pure costose” e “la sicurezza prevede un costo aggiuntivo per l’azienda, il tutto diventerebbe quindi particolarmente impegnativo in termini di budget per le pmi. Dovremmo anche tenere conto del fatto che molte piccole e medie imprese non prevedono nemmeno il ruolo di CISO. Tutti questi fattori, insieme alla ormai nota carenza di competenze, potrebbero rendere difficile l’attuazione della Nis 2.
Il rischio principale è che alcune aziende possano implementare controlli di security solo per soddisfare i requisiti normativi, piuttosto che rafforzare realmente la loro posizione di sicurezza informatica. Ciò che auspichiamo è che l’applicazione e le sanzioni non siano immediate, permettendo all’Agenzia per la Cybersicurezza Nazionale (Acn) di svolgere un ruolo di facilitatore nella soddisfazione dei requisiti Nis 2. La direttiva non è stata concepita per fare cassa, bensì per migliorare la sicurezza informatica degli Stati membri dell’UE.
Quali sono le aspettative per l’armonizzazione delle normative sulla sicurezza informatica tra gli Stati membri dell’UE ai sensi della direttiva Nis 2?
La direttiva Nis ha mostrato grandi incoerenze e divergenze nel processo di attuazione tra gli Stati membri, ciò ha comportato la revisione della stessa e l’elaborazione della direttiva Nis 2. Gli Stati membri hanno minori possibilità di adeguare gli obblighi giuridici alle realtà nazionali, ciò li porterà a una maggiore convergenza, situazione sicuramente apprezzata. Tuttavia, la Nis 2 rimane comunque una direttiva, non un regolamento. Pertanto, gli Stati membri disporranno di un certo margine di manovra nell’attuazione del testo, per definire ancora meglio l’ambito esatto dei soggetti interessati.
In uno scenario ideale, Nis 2 porterà ai 27 Paesi una migliore armonizzazione di tutto il quadro. Inoltre, una maggiore coerenza semplificherà il lavoro dei professionisti della sicurezza informatica. Tuttavia, l’UE e le agenzie nazionali locali per la cybersecurity svolgono un ruolo significativo nel fornire un completo orientamento vero le normative applicabili. Ciò contribuirebbe a semplificare la conformità districandosi tra la moltitudine di direttive e regolamenti esistenti – come Gdpr, Nis 2, Digital Operational Resilience Act e Cyber Resilience Act. Ogni testo legale prevede diversi requisiti di segnalazione degli incidenti (per vari tipi di incidenti, entità coperte, diverse tempistiche di segnalazione e diverse autorità a cui far riferimento), il che diventa particolarmente complesso per i professionisti informatici.
La direttiva Nis 2 deve anche poter offrire una maggiore contiguità per le aziende, supportandole nel dimostrare la loro conformità alle misure di sicurezza richieste da Nis 2. Per quanto riguarda le aziende operanti a livello internazionale, esse hanno bisogno di coerenza tra quanto viene recepito e come viene applicato, a livello nazionale, secondo schemi o standard che consentono la presunzione di conformità. Anche le valutazioni di conformità condotte da terzi devono essere riconosciute oltre i propri confini. L’Enisa dovrebbe predisporre orientamenti tecnici in tal senso. Oggi non risulta esserci tale coerenza tra i recepimenti nazionali – alcuni dei quali basati su sistemi e revisori nazionali – non adatti però agli ambienti internazionali.
Quale sarà l’impatto della Nis 2 sulle catene di approvvigionamento delle imprese, in particolare per quanto riguarda le pmi che forniscono prodotti o servizi alle medie e grandi imprese che devono conformarsi alla direttiva?
I requisiti relativi alla sicurezza informatica dei fornitori sono senza dubbio i più sfidanti e meno implementati oggi sul mercato. E se i processi di Third Party Risk Management sono sfidanti per aziende molto grandi, diventano estremamente complessi per aziende di medie o piccole dimensioni, se non piccolissime, che però giocano un ruolo chiave nella supply chain di alcuni clienti. Anche l’identificazione di questi fornitori diventa di per sé una grande sfida. Per fare un esempio, qualche tempo fa ci è capitato di essere coinvolti in un progetto per un’azienda farmaceutica europea, scoprendo, durante la consegna di quel progetto, che le aziende che producono fiale per farmaci sono molto poche, e molto spesso sono anche aziende molto, molto piccole.
Queste realtà rientreranno nel perimetro Nis 2, ma è probabile che non ne abbiano una reale consapevolezza. Ciò porterebbe a un ritardo nell’attuazione dei controlli con maggiori rischi per l’intera filiera. Se da un lato il problema della consapevolezza è uno dei tasselli che compongono il quadro, dall’altro rileviamo l’aumento dei costi che l’adeguamento alla Nis 2 comporta. Nella valutazione d’impatto per Nis 2, l’UE ha stimato un aumento della spesa ict pari al +12% per le imprese del perimetro Nis 1 e al +22% per le imprese non precedentemente coinvolte. Questo rappresenterà probabilmente un’ulteriore difficoltà per le aziende più piccole che saranno coinvolte.
Tutto quello che devi sapere sulla NIS2
Che cosa dovrebbero fare concretamente le imprese per assicurarsi di essere preparate all’entrata in vigore della NIS 2 quando sarà recepita nella legislazione nazionale?
Innanzitutto, è necessario capire se si rientra nelle tipologie di soggetti coinvolti nella normativa, come ad esempio le imprese che svolgono attività ritenute fondamentali per il funzionamento della società e dell’economia. Successivamente bisogna individuare e adottare, attraverso un approccio multirischio, misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi al fine di prevenire o minimizzare l’impatto di eventuali incidenti da parte dei destinatari dei propri servizi oppure di altri servizi.
Il ruolo del Security Operation Center diventerà sempre più il cuore della sicurezza organizzativa, che consente l’identificazione tempestiva degli incidenti significativi e la comunicazione secondo le tempistiche dettate dalla direttiva. Per Splunk, è molto comune vedere i Soc implementati senza l’attuazione di una strategia di alto livello adeguata che miri a ricondurre il rischio a un livello accettabile. In Splunk definiamo spesso con Ciso l’insieme dei servizi Soc, molte volte mancanti ma decisamente necessari, anche se spesso considerato come mero “giocattolo tecnologico” e non come funzione abilitante per la cyber resilience di una organizzazione.
Altre volte, definiamo la detection strategy per ottenere una visibilità adeguata al livello di rischio che si decide di accettare (e che ci permette di dormire sonni tranquilli) con il responsabile Soc oppure Ciso. Nis 2 prende una direzione ben precisa imponendo un approccio multi-rischio (come già detto precedentemente). Ciò richiede un’attenta pianificazione nella creazione di un Soc e dei suoi processi di supporto perché, come diciamo spesso ai nostri clienti: nessun piano resiste alla prova del tempo, ma nessuno sopravvive senza un piano.
