Immunizzare l'Europa dalle minacce informatiche: la NIS2 e il ruolo dello zero trust

Sembra passato un attimo da quando ero alla cerimonia di fine anno scolastico dei miei figli, eppure gli Europei di calcio sono già finiti e siamo nel vivo delle Olimpiadi. L'estate sta volando. E con essa, si sta rapidamente esaurendo il tempo che le organizzazioni hanno a diposizione per prepararsi all'imminente direttiva NIS2 (Network and Information Security 2), che entrerà ufficialmente in vigore a ottobre del 2024.  

Chi ha seguito i contenuti che ho pubblicato nel corso degli ultimi mesi potrebbe sorprendersi a scoprire il mio cambio di rotta in merito a questa legislazione, al suo scopo effettivo e alla sua efficacia. Più approfondisco le mie conoscenze sulla NIS2, più il mio iniziale scetticismo  si trasforma nella convinzione che rappresenti un enorme passo avanti per la sicurezza informatica in Europa.

Penso che la Direttiva NIS2 non sia un mero adempimento normativo a livello aziendale, ma che rappresenti invece un importante passo in avanti nell'immunizzazione dell'intera area europea dalle minacce informatiche attuali e future. Con il suo esteso ambito di applicazione, i suoi requisiti di sicurezza informatica ancora più rigorosi, gli obblighi di segnalazione degli incidenti informatici e le potenziali sanzioni (personali) che prevede, sta sensibilizzando i consigli di amministrazione e dei vari settori che in passato davano poca importanza alla sicurezza e li sta convincendo a potenziare le proprie difese.

O almeno questo dovrebbe essere il suo scopo, se le organizzazioni si prenderanno il tempo necessario per comprenderla fino in fondo.

Quando all'inizio di quest'anno abbiamo parlato con i responsabili IT del loro approccio alla NIS2, l'80% ci ha rivelato di essere sicuro che le proprie organizzazioni sarebbero state conformi entro la scadenza di ottobre, ma solo il 53% riteneva che i propri team comprendessero appieno questi obblighi. E questa percentuale è scesa al 49% quando ai responsabili IT è stata posta la stessa domanda in merito alla loro leadership aziendale. Ciò che sapevano era che la NIS2 richiedeva un abbandono radicale dalle loro attuali strategie di sicurezza e che molti avevano bisogno di maggiore supporto rispetto a quello che stavano ricevendo per realizzare tale obiettivo.

Nessuna soluzione o fornitore di software può garantire da solo la conformità alla Direttiva NIS2. Tuttavia, l'adesione ai principi dello zero trust (che la Direttiva stessa suggerisce alle organizzazioni di adottare come pratica di base di igiene digitale) soddisfa una serie di requisiti, in quanto riduce radicalmente le superfici di attacco ed elimina un'ampia gamma di variabili tecniche che possono ostacolare i progressi nel raggiungimento della conformità.

Ed è qui che entra in gioco Zscaler. Nel nostro ultimo whitepaper, "Adeguarsi alla NIS2: perché lo zero trust è un elemento essenziale di questo percorso", esploriamo come un'architettura zero trust, nonché le funzionalità e gli strumenti di Zscaler nello specifico, possono aiutare le organizzazioni ad affrontare le sfide della NIS2. E poiché l'implementazione della NIS2 può variare leggermente in ogni stato membro, la nostra attenzione ricadrà sui requisiti e sui principi cardine della Direttiva, suddividendo le linee guida in quattro aree principali:

·    Le misure per la gestione del rischio relativo alla sicurezza informatica

·    Le misure di governance della sicurezza informatica

·    I requisiti di segnalazione degli incidenti

·    La supervisione e l'applicazione

Per coloro che ritengono di aver bisogno di un ulteriore supporto per portare a termine il proprio adeguamento alla NIS2 entro ottobre, questa potrebbe rivelarsi una lettura estremamente utile.

Tuttavia, anche se leggendo velocemente questo articolo ritieni di non avere dubbi sulla tua capacità di riuscire a conformarti alla Direttiva per tempo, ti consiglio comunque di dare un'occhiata al nostro white paper per capire come aiutare gli altri nel tuo settore o nel tuo ecosistema. Questo adempimento normativo rappresenta perfettamente il vecchio detto secondo cui una marea che sale solleva tutte le barche. Oppure,  per dirla in altre parole:  rendere ignifugo il proprio appartamento serve a poco, se l'intero edificio va in fiamme.

L'Europa può riuscire nel suo intento di rafforzare le proprie difese informatiche solo attraverso uno sforzo condiviso da parte di tutte le organizzazioni, a prescindere dalla dimensione e il settore di appartenenza, al fine di potenziare i meccanismi di sicurezza adottati, ridurre l'esposizione ai rischi informatici e semplificare le attività di conformità.