Nis2 in dirittura d’arrivo: come raggiungere la conformità prima della deadline di ottobre, quando la nuova legge entrerà definitivamente in vigore? Lo spiega Zscaler in un vademecum che raccoglie passo dopo passo le 6 fasi da seguire per aiutare i responsabili aziendali a monitorare i progressi e avviare i cambiamenti necessari.
Sicurezza come priorità per il management aziendale
“Le nuove norme di sicurezza come la direttiva Nis2 – spiega Christoph Schuhwerk, Ciso Emea di Zscaler – mirano a migliorare la sicurezza informatica di base che protegge settori critici come la pubblica amministrazione, le telecomunicazioni, l’energia, i trasporti o i servizi finanziari. Ciò contribuirà a ridurre la probabilità di un attacco informatico che potrebbe avere un impatto sui comuni cittadini. Ma se garantire la conformità a un quadro di sicurezza a livello Emea può sembrare un compito scoraggiante per molte aziende, non è qualcosa che i membri del consiglio di amministrazione dovrebbero considerare come una minaccia, ma un’opportunità per raggiungere nuovi standard di sicurezza. Con la nuova direttiva, la sicurezza informatica diventa finalmente una priorità per il management aziendale. In base alla Nis2, la leadership aziendale è maggiormente responsabilizzata e può essere ritenuta personalmente responsabile se le linee guida vengono ignorate o se l’azienda non è conforme”.
Le sei mosse per adeguarsi
“La direttiva – prosegue il Ciso – è stata concepita per consentire alle aziende con un livello insufficiente di igiene informatica di adeguarsi agli standard di sicurezza, un investimento necessario per tenere il passo con la velocità in continua evoluzione degli attacchi informatici. Pertanto, questa evoluzione della sicurezza dovrebbe essere il prossimo passo logico in un percorso che la maggior parte delle aziende ha già intrapreso da anni”.
Ecco dunque, secondo il vademecum Zscaler, le mosse che le aziende devono compiere per adeguarsi al nuovo scenario normativo:
Le aziende devono registrarsi
In primo luogo, le aziende devono valutare se sono coinvolte dal nuovo campo di applicazione prima di agire di conseguenza. L’Ue stima che più di 160.000 aziende e 15 settori dovranno conformarsi alla Nis2, in quanto rientrano nell’ampliamento delle categorie per cui è richiesta. Tutti saranno soggetti a “requisiti più stringenti per la gestione del rischio e la segnalazione degli incidenti, una copertura più ampia dei settori e sanzioni più severe in caso di non conformità”. Partendo dalle basi gettate dalla direttiva Nis originale, la Nis2 non solo amplia l’ambito di applicazione delle entità coperte, ma introduce anche misure di conformità più spinte. L’aggiornamento del campo di applicazione della direttiva ne amplia significativamente l’applicazione e introduce requisiti più severi sia per le entità categorizzate come “essenziali” sia per quelle definite “importanti”.
“In base alla direttiva europea – spiega Schuhwerk -, ogni azienda che rientra nell’ambito di applicazione della Nis2 deve registrarsi in modo proattivo su un portale fornito dall’autorità specifica del Paese. Il processo di registrazione sarà leggermente diverso in ogni Paese e purtroppo, al momento, questo portale di registrazione non è ancora attivo nella maggior parte dei Paesi dell’Ue. Tuttavia, le aziende dovrebbero già familiarizzare con la direttiva UeE che sarà il modello per tutte le normative locali, per capire se rientrano nell’ambito di applicazione della Nis2. Se hanno filiali in tutta l’Ue, devono assicurarsi di adottare le misure necessarie per tutti i Paesi. Una volta che le aziende hanno valutato la necessità di conformarsi e la registrazione è avvenuta, è necessario predisporre un piano per l’attuazione della direttiva.
Organizzare il processo per raggiungere la conformità
Se un’azienda non utilizza ancora certificazioni o quadri normativi nell’area della sicurezza informatica, Nis2 è un buon punto di partenza. Se esistono altri quadri di riferimento per la sicurezza informatica, lo sforzo aggiuntivo verso il Nis2 dovrebbe essere limitato, poiché molti dei requisiti sono già noti nei quadri comuni di riferimento. La mappatura di questi quadri è un buon punto di partenza per organizzare il processo di conformità. Tali mappature sono ora disponibili pubblicamente o possono essere ottenute dai fornitori di servizi.
“L’allineamento ai quadri di sicurezza a livello Ue non è qualcosa che la dirigenza di un’azienda può delegare al team della sicurezza, disinteressandosene e scaricandosi di responsabilità – afferma il Ciso -. Se viene rilevata la mancata conformità le ripercussioni a livello finanziario, sia per l’azienda che per i singoli, possono essere severe, con potenziali sanzioni per i comportamenti più gravi. I dirigenti aziendali devono prendere sul serio le normative e mettere in campo team con le conoscenze e l’esperienza necessarie per verificare gli asset e le policy attuali con il rigore e il livello di dettaglio necessari”.
Creare il team NIS 2
La responsabilità dell’intero processo Nis2 dovrebbe, verosimilmente, ricadere sull’ufficio del Ciso, che può delegare le fasi appropriate a un gruppo di progetto più ampio, assicurando la disponibilità di esperti in materia provenienti da vari settori dell’azienda. Prima di creare qualsiasi squadra interna, è necessario assegnare un capo progetto che possa guidare l’audit e suddividere i documenti riguardanti la direttiva Nis2 per garantire le migliori pratiche in tutti gli uffici e i fornitori terzi. Avere un’unica persona responsabile della revisione dei documenti significa che l’azienda si allinea a un’unica interpretazione del quadro normativo, piuttosto che a molteplici variazioni tra le varie regioni.
In base alle diverse sezioni della direttiva Nis2, il responsabile del progetto deve coinvolgere esperti in materia per supportare il più ampio team della sicurezza informatica. “Molte grandi aziende avranno già una divisione specifica all’interno del team legale o della sicurezza che si occupa di certificazioni e audit, e questo approccio dovrebbe essere adottato per la conformità Nis2 – spiega il Ciso Zscaler -. Questi soggetti avranno una conoscenza approfondita del patrimonio tecnologico e saranno in grado di identificare molto più rapidamente le aree dell’azienda più carenti in termini di sicurezza. Per le aziende più piccole che non dispongono di questi sottogruppi o del budget necessario per crearne uno, l’approccio migliore sarebbe quello di creare una task force congiunta che raccolga il giusto livello di conoscenze su cosa cercare durante l’audit”.
Revisione della gestione dell’inventario per confermare il profilo di rischio
Uno dei maggiori sforzi per qualsiasi audit di conformità deriva dal fatto che i team non hanno una visione completa delle tecnologie e delle risorse all’interno dell’ambiente aziendale, a causa delle lacune nella gestione dell’inventario. Comprendere i punti ciechi nella configurazione di un’infrastruttura di sicurezza sarà una priorità per i responsabili del progetto prima di iniziare ad affrontare i problemi di conformità: per questo motivo l’esame delle risorse disponibili è un prerequisito del processo.
“La complessità organizzativa può implicare ulteriori sforzi al processo di conformità, ad esempio quando le divisioni aziendali hanno i propri processi di governance IT indipendenti – spiega il Ciso -. Ciò si verifica spesso quando le aziende hanno responsabilità diverse per i workload IT e OT, che rientrano entrambi nella governance Nis2. Il team del progetto Nis2 deve allineare e conoscere l’intero set di tecnologie per determinare il profilo di rischio completo per l’azienda. Il nostro consiglio è di utilizzare un sistema centrale di gestione degli asset in tutte le divisioni aziendali e tecnologiche”. Sul mercato sono disponibili diverse soluzioni per accelerare il processo attraverso la scansione intelligente e il miglioramento dei dati basato sull’intelligenza artificiale. Poiché molte aziende crescono anche attraverso acquisizioni regolari, i nuovi stack tecnologici dovranno essere aggiunti al processo di auditing e conformità”.
Risparmiare tempo trasferendo i risultati di audit esistenti alla Nis2
Molte aziende devono già allineare parti della loro attività ad altre norme e direttive per essere conformi. Quei risultati possono essere riutilizzati e dovrebbero essere applicati alle rispettive aree Nis2. Nel migliore dei casi, potrebbero già direttamente corrispondere ai requisiti richiesti dalla direttiva Nis2 anche a livello locale.
Se le aziende individuano un divario significativo tra i quadri normativi, il team di progetto dovrà pianificare il percorso più efficace e rapido per raggiungere la conformità nei pochi mesi rimanenti a disposizione. Potrebbe essere utile collaborare con partner competenti per capire quale tecnologia deve essere sviluppata e come i requisiti possono essere soddisfatti, interferendo il meno possibile con l’attività quotidiana e con la minima complessità.
Eliminare la complessità dell’infrastruttura
Il processo di riflessione sulla conformità precedente prevedeva l’acquisto di nuove tecnologie per soddisfare i requisiti, ma ciò ha lasciato le aziende con un elevato debito tecnologico. La maggior parte dei gruppi della sicurezza si troverà in difficoltà con la conformità alla direttiva Nis2. Molte aziende si rivolgono alle principali piattaforme di sicurezza basate sul cloud per semplificare la complessità della loro tecnologia, creando un punto di connessione comune per tutti gli uffici e instillando un livello base di igiene della sicurezza che facilita le verifiche.
“Il consolidamento degli stack tecnologici disponibili – conclude il Ciso Emea di Zscaler – ridurrà rapidamente la complessità e renderà il processo di conformità un’attività molto più agevole in futuro. Una best practice comprovata è la combinazione delle tre-cinque grandi piattaforme più rilevanti a favore di un ecosistema IT complessivo, che copra l’intera difesa della sicurezza informatica: rilevamento, risposta, deception e gestione degli incidenti per i dispositivi sul posto di lavoro, i workload on premise e in cloud. Per ridurre la complessità, è particolarmente importante che tali piattaforme si integrino l’una con l’altra senza problemi, utilizzando Api predefinite”.
