La NIS2? Stefano Alei, digital transformation architect di Zscaler, non ha dubbi: “è un’opportunità per le aziende!”. Come dimostra il fatto che sempre più aziende stanno contattando la multinazionale chiedendo supporto per farsi trovare pronte quando entrerà effettivamente in vigore. Se per le realtà meglio strutturate si tratta di rivedere i processi interni e incrementare, se necessario, il budget, per le Pmi sarà più complicato, “perché è la prima volta che si trovano ad affrontare temi di questo tipo”.
C’è un fatto da non sottovalutare: “le grandi aziende faranno attività di due diligence per capire quali fornitori sono adeguati”, perché ora non potranno scaricare la responsabilità verso terzi. Anche perché al contrario della NIS1, la nuova norma prevede anche responsabilità penali per i responsabili aziendali. Per questo motivo, secondo Alei sarà importante che il Ciso o il suo equivalente entri nel board, e che abbia specifici gradi di autonomia per poter portare avanti progetti e prendere decisioni critiche.
Possiamo aspettarci che le grandi aziende aiutino i loro fornitori? “Dipende” – afferma Alei – “io penso che il grande aiuto potrà arrivare dai vendor di cybersicurezza e da enti come Csirt e Acn. Mi immagino anche un aiuto istituzionale, e forse anche da alcune aziende partner”.
NIS2: l’occasione giusta per rivedere la postura di sicurezza
Secondo Alei, l’arrivo delle nuove norme darà un forte stimolo a imprese di ogni dimensione per rivalutare la propria postura di sicurezza e comprendere se, al di là della conformità, ci siano aree di miglioramento. Anche perché “molte imprese sono overconfident sulle loro difese. Abbiamo fatto un sondaggio che ha coinvolto 900 decision maker, ed emerge come tanti manager siano convinti di essere già pronti”. Un eccesso di fiducia pericoloso, considerato soprattutto che la normativa non è ancora stata ratificata, e quindi è suscettibile di modifiche dell’ultimo momento. E c’è di più: dal report emerge che “Lo stesso management però poi era carente nel supporto IT, non solo sotto il profilo delle tecnologie, ma anche nella la gestione dei processi. O addirittura sull’alfabetizzazione digitale. Una cosa preoccupante fra queste aziende è che il 31% (in UE) e il 23% (in Italia) definivano soddisfacente la postura di sicurezza.”.
Un altro aspetto che merita di essere sottolineato è, come anticipato, quello delle responsabilità, sule quali in molti casi c’è confusione su chi sia il responsabile ultimo. “La norma sottolinea che i vertici aziendali sono responsabili. Questo è un ulteriore stimolo a mettere a punto le proprie procedure”.
Un cambiamento che non è solo tecnologico
Pensare che per essere in regola con le nuove normative basti acquistare dei software è completamente fuorviante. “NIS2 è una deviazione importante dalla sicurezza attuale. Serve un cambiamento che non è solo tecnologico. Bisogna intervenire anche sulla gestione delle policy, che è uno dei punti di maggiore difficoltà per i clienti”. Difficoltà che derivano dal fatto che “la sicurezza spesso è stata aggiunta on top alle infrastrutture esistenti”. Come spiega Alei, col tempo le imprese hanno iniziato ad aggiungere sempre più soluzioni per andare a risolvere specifiche problematiche di sicurezza, con il risultato che oggi ci sono decine, se non centinaia, di software che non sempre parlano fra loro.
Manca, insomma, il concetto di security by design. Un approccio lontano da quello di Zscaler, che invece propone una piattaforma omnicomprensiva che cerca di indirizzare tutte le problematiche di sicurezza. Interessante come secondo Alei non sia necessario correre sempre alla ricerca della soluzione più innovativa sul mercato: “è inutile mettere soluzioni super all’avanguardia” – afferma il manager “lo rimangono solo per pochi mesi, e poi la concorrenza le raggiunge. Dal mio punto di vista, aumentano solo la complessità”.