La NIS2? Alla fine, non introduce nulla di nuovo, per gli esperti di sicurezza. Parliamo di un framework che, almeno sulla carta, dovrebbe essere alla base di ogni azienda. Stringi stringi, le nuove normative sono “un insieme di best practice già note. Creando un framework per la conformità, si cerca di spingere le aziende ad adottarle e migliorare la propria postura di sicurezza. Perché fino a oggi, hanno fatto il minimo indispensabile. Messo gli antivirus, magari la Vpn. Hanno fatto poco per proteggere l’identità dell’utente, che è un aspetto cruciale”. E per riuscire in questo, non bastano le tecnologie, ma è necessario predisporre precise procedure interne e impegnarsi nella formazione continua del personale, “che è anche uno degli aspetti su cui insiste NIS2”.
L’impatto reale di queste misure non sarà trascurabile, soprattutto per le realtà meno strutturate, che spesso non hanno al loro interno un reparto IT con le competenze di cybersecurity necessarie. Secondo D’Amato, “faranno fatica”. Perché NIS2 non prevede semplicemente l’acquisto di nuove tecnologie: “siamo all’interno di un framework che prevede attenzione alle persone, alle procedure, alla formazione. La cosa che auguro è che le Pmi adottino tecnologie Zero Trust, ma che si appoggino a servizi esterni, come gli Mdr (Managed detection and response), che si occupano di garantire un monitoraggio 24/7 della sicurezza e in certi casi di rispondere agli incidenti informatici”. Insomma: se non ci sono le competenze interne, perché non delegare a terzi il compito? Anche perché, sono poche le imprese che possono avere la forza di assumere, formare e gestire personale tanto specializzato, soprattutto in Italia, dove il tessuto è composto prevalentemente da piccole realtà.
Si potrebbe pensare che anche così facendo il costo potrebbe essere proibitivo per tante realtà, ma secondo D’Amato non è necessariamente così, perché “non è necessario creare un SoC (Security operation center) o un Mdr dedicato a uno specifico cliente”. Ci sono imprese, fra cui BItdefender, che offrono questo tipo di servizi, condivisi con più clienti, a cifre abbordabili, anche per le Pmi.
Viene spontaneo chiedersi se questo non rischi di diventare uno scarico di responsabilità: si paga il servizio, così da essere conformi alla legge, e poi si torna al classico approccio. “Il rischio che qualcuno preferisca essere a norma sulla carta e non nei fatti c’è”, spiega D’amato. “La responsabilità però con NIS2 rimane in capo all’azienda”. Anche se fa outsourcing. E non è un caso che la norma prevede anche verifiche e controlli sulla catena di approvvigionamento.
Il tema della supply chain
Il fatto che le imprese interessate dalla NIS2 saranno tenute a effettuare verifiche sulla sulla loro filiera è una notizia importante, perché significa che il perimetro della norma in qualche maniera si estende anche ai fornitori che non sarebbero sulla carta interessati. Una scelta necessaria e fondamentale, visto che gli attacchi informatici alla supply chain possono avere impatti fondamentali. Ma che rischia di tagliare fuori piccole imprese che non hanno la forza economica per adeguarsi. Secondo D’Amato, però, anche solo il fatto di far parte di un ecosistema nel quale operano sia grandi realtà sia piccoli fornitori “influenzerà anche le realtà più piccole ad adeguarsi a certi standard. Anche perché le grandi aziende imporranno i loro Kpi ai fornitori, che quindi saranno spingi a migliorare la propria postura”.
Come sarà ratificata dall’Italia NIS2? E come sono messe le aziende?
Sotto il profilo delle normative di sicurezza “l’Italia si è mossa in ritardo rispetto ad altri Paesi. Ma sta colmando il gap. L’obiettivo è quello di avere uno standard nazionale di sicurezza paragonabile a quello europeo”. Secondo D’Amato, tra l’altro, potrebbe essere utile avere “un framework di controllo più dettagliato, che darebbe alle aziende un ulteriore strumento per potenziare la sicurezza”.
Ma le aziende come sono messe? Sono pronte? Sono a conoscenza dell’arrivo delle nuove norme e dell’impatto sul loro business? “Dai nostri webinar e incontri con le imprese, è evidente che c’è molto interesse sul tema. Partecipano tantissime persone. Dal lato pratico, però, vedo pochi che fanno azioni concrete per adeguarsi. Ma secondo me ci sarà poi una corsa finale per adeguarsi”, quando le norme entreranno in azione, anche perché “la sensibilità è cambiata, anche nelle Pmi. E nella Pubblica Amministrazione, che però ha sempre avuto una certa attenzione su questi temi”.
Un interesse che arriva prevalentemente ad alto livello, secondo D’Amato, dalla C-Suite, che è un segnale positivo “perché la sensibilità viene dall’alto”, cosa non scontata anche solo pochi anni fa. “In certe aziende stategiche, la cybersecurity è in capo all’amministratore delegato, segno che la sensibilità c’è. Ma nelle Pmi c’è ancora lavoro da fare”.
Cosa devono fare le aziende per essere pronte?
All’atto pratico, le aziende dovranno iniziare seriamente a pensare alla gestione del rischio informatico. E significa adottare processi e procedure. Perché “spesso le tecnologie sono presenti, ma non si sa come usarle. Cosa devo fare in caso di incidente? Chi devo chiamare? Quali procedure devo adottare?”. La prima cosa da fare sicuramente è fare un assesment della propria postura di sicurezza, poi dotarsi di tecnologie all’avanguardia, di strumenti di threat intelligence, utili a capire se la mia azienda è stata oggetto di furti di dati, o se qualcuno sta pianificando un attacco. poi serve una piattaforma di gestione, in grado di rispondere a tutte le necessità di sicurezza, inclusa la cifratura dei dati. E formare il personale”. E quest’ultimo punto non sarà facile, perché la carenza di competenze specifiche è un problema col quale si scontrano quasi tutti. Per questo Bitdefender ha “un presidio fisso all’Università di Bucarest”, che sfrutta per cercare i nuovi talenti.
L’UE accelera sulla cybersecurity: tutto quello che c’è da sapere sulla NIS 2
