I CISO e i dirigenti di tutte le aziende europee sono in fermento data l’immanente entrata in vigore della direttiva NIS2, che avverrà il 17 ottobre. Affrontare il cambiamento di pensiero e flusso operativo che la NIS2 introduce non è semplice, ma presenta l’opportunità perfetta per superare le infrastrutture legacy e implementare i principi dello Zero Trust. Ce ne parla Stefano Alei, Transformation Architect di Zscaler.
C’è tanto lavoro da fare, ma le aziende sono fiduciose
Gli obiettivi della direttiva NIS2 sono chiari: ampliare l’ambito di applicazione, rafforzare i requisiti di sicurezza, aumentare il livello di protezione di base, e armonizzare la condivisione delle comunicazioni. Chiunque non rispetti questi paradigmi rischia di incorrere in salate multe e conseguenze legali.
Gli Stati membri dell’Unione Europea devono adottare e pubblicare le misure necessarie per conformarsi alla direttiva entro il 18 ottobre 2024. Alcuni Paesi, come Belgio, Francia, Germania e Italia hanno già emanato i decreti di recepimento della direttiva. Gli altri sono ancora in fase preliminare, ma si stanno mobilitando in fretta vista l’imminente scadenza. E c’è buona notizia: la maggior parte dei responsabili delle iniziative di conformità alla direttiva NIS2 è fiduciosa sul risultato finale di aumentare la sicurezza della propria azienda.
La posta in gioco è elevata, e ciò potrebbe portare a un benvenuto cambiamento di mentalità per quanto riguarda l’approccio alla sicurezza informatica dal parte delle aziende europee. Lo sforzo di adesione alla normativa può rendere le organizzazioni consapevoli delle proprie lacune, con un conseguente miglioramento della postura di sicurezza.
Never trust, always verify: lo Zero Trust è uno dei requisiti della direttiva
Nel preambolo 89 della direttiva è scritto che le aziende europee, soprattutto quelle offrenti servizi critici, sono tenute ad adottare pratiche di igiene informatica di base. Tra queste, l’aggiornamento costante del software, la corretta configurazione dei dispositivi, la segmentazione della rete, la consapevolezza degli utenti, e soprattutto i principi dello Zero Trust.
Il modello Zero Trust è un insieme di pratiche di sicurezza che si basano sul paradigma del “never trust, always verify” (mai fidarsi, sempre verificare). I principi dello Zero Trust comprendono il controllo continuo degli accessi, in modo che nessun utente non autorizzato possa accedere a luoghi e dati non consentiti, e il garantire privilegi minimi a tutti gli utenti.
Un elemento cruciale contenuto all’interno di NIS2 è la gestione delle terze parti. Questo introduce un’ulteriore complessità nell’adeguamento ai principi della normativa, in quanto l’intera catena del valore deve essere tutelata da tutti gli stakeholder coinvolti. Qui l’applicazione dei principi Zero Trust risulta cruciale per garantire scambio sicuro di informazioni.
Le soluzioni di Zscaler possono aiutare le aziende ad adempiere i requisiti della normativa NIS2. In particolare, la piattaforma Zero Trust Exchange (ZTE) di Zscaler soddisfa ampiamente la maggior parte delle specifiche tecniche previste, offrendo un modo semplice per implementare i principi dello Zero Trust. Per maggiori informazioni sulla piattaforma, vi invitiamo a consultare la pagina web dedicata sul sito web di Zscaler.
La formazione dei dipendenti in ambito cybersecurity è fondamentale per aderire alla normativa NIS2
Ma per conformarsi alla NIS2 le imprese non solo hanno bisogno di tecnologie innovative. Necessitano infatti di migliorare le proprie procedure e di formare la propria forza lavoro. Come riportato nella normativa, sempre nel preambolo 89: “Le entità essenziali e importanti dovrebbero adottare un’ampia gamma di pratiche di igiene informatica di base, come […] organizzare la formazione del proprio personale e sensibilizzarlo in merito alle minacce informatiche, al phishing o alle tecniche di social engineering“. I dipendenti sono la prima linea di difesa contro le minacce informatiche, e per questo vanno informati e formati sulle migliori pratiche da adottare in ambito cybersecurity.
