Cips Informatica spiega la NIS2 nel suo roadshow

Attraverso un evento itinerante, il distributore Cips Informatica ha voluto sensibilizzare partner e utenti finali sulla direttiva che diventerà effettiva il prossimo 17 ottobre. Protagonisti sono stati N-able, Netwrix, Sangfor e Netalia che, vestiti gli abiti di consulenti, e coadiuvati dall’avvocato Giuseppe Serafini, hanno affrontato il tema NIS2 a tutto tondo

Il 17 ottobre 2024 sarà una data importante per la cybersecurity in Europa: diventerà effettiva la normativa NIS2. Una direttiva che introduce diverse importanti novità nella lotta contro il cybercrime, a partire dal fatto che, rispetto all’attuale NIS, estende notevolmente il numero di realtà interessate. Senza contare che avrà importanti riflessi anche sulle relative filiere.

Ma quali sono le aziende coinvolte e, soprattutto, cosa comporta in termini pratici questo adeguamento? A queste e ad altre domande relative alla nuova normativa ha voluto dare risposta il distributore Cips Informatica attraverso il roadshow Road to NIS2. L’evento, che ha toccato quattro città (Genova, Milano, Padova e Roma), ha avuto come protagonisti tre vendor (N-able, Netwrix e Sangfor) e un service provider (Netalia). Questi, smessi i panni commerciali e indossati quelli di consulenti, e coadiuvati dal supporto dell’avvocato cassazionista Giuseppe Serafini, hanno offerto un approfondimento a tutto tondo sul tema NIS2.

Cosa è la NIS2 e che novità porta

La NIS2 è una versione aggiornata della direttiva sulla sicurezza delle reti e dei sistemi informativi dell’Unione Europea (NISUE 2016/1148), introdotta nel maggio 2018. Creata per garantire un alto livello di sicurezza delle reti e dei sistemi informativi in tutta l’UE, tale direttiva si rivolge agli operatori di servizi essenziali per prevenire gli effetti dannosi che attacchi alle infrastrutture strategiche avrebbero potuto causare. Tuttavia, col passare del tempo, la NIS ha mostrato dei limiti sia nella sua implementazione sia nel concetto stesso di sicurezza IT.

Di conseguenza, l’Unione Europea ha deciso di modificare la direttiva e ha proposto la NIS2. Dopo un iter legislativo di due anni, nel maggio 2022 è stato raggiunto un accordo sulla NIS2, che è entrata in vigore il 16 gennaio 2023. Gli Stati membri devono recepire la direttiva nelle loro legislazioni nazionali entro il 17 ottobre 2024.

Quale evoluzione della NIS, la NIS2 chiarisce le responsabilità del management aziendale e i tempi di notifica degli incidenti. Prevede che le aziende segnalino incidenti significativi entro 24 ore, considerando come significativi gli incidenti che possono causare gravi perturbazioni operative o rilevanti perdite finanziarie. Inoltre, obbliga il management aziendale all’attuazione e alla supervisione della conformità alla legislazione. Qualora si trasgredisca si va incontro a sanzioni che includono multe e, in casi gravi di non conformità, la sospensione temporanea dalle funzioni manageriali.

Le aziende devono anche adottare misure di protezione basate su un approccio che includa politiche di analisi dei rischi, gestione degli incidenti, continuità operativa, sicurezza della supply chain e altre disposizioni. Queste misure devono essere implementate da soggetti che devono saperne valutare l’efficacia e promuovere la formazione in materia di cybersecurity.

La direttiva si estende anche alla sicurezza della supply chain, richiedendo alle aziende di considerare le vulnerabilità dei propri fornitori e adottare misure correttive quando necessario. Gli Stati membri devono coordinare valutazioni dei rischi per la sicurezza delle supply chain critiche e promuovere l’adozione di misure correttive in caso di non conformità.

La NIS2 introduce poi una regola di dimensionamento (devono adeguarsi le realtà con un minimo di 50 dipendenti e un fatturato annuo superiore a 10 milioni) che operano nella categoria dei servizi essenziali già prevista dalla NIS (energia, trasporti, banche, mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, servizi ICT business-to-business) e nella nuova categoria dei servizi importanti (poste e corrieri, gestione rifiuti, lavorazione e distribuzione sostanze chimiche, fornitori di servizi digitali, ricerca e fabbricazione di dispositivi medici e diagnostici computer, prodotti di elettronica e ottica, apparecchiature elettriche; autoveicoli, rimorchi, semirimorchi e altri mezzi di trasporto).

La responsabilità è personale

Cips Informatica spiega la NIS2 nel suo roadshow, Cips Informatica spiega la NIS2 nel suo roadshow
avvocato Giuseppe Serafini

Attraverso la NIS2, la UE intende fare in modo che le aziende che costituiscono l’attuale tessuto socio-economico siano in qualche modo affidabili. In tal senso, la NIS2 si colloca all’interno di una serie di norme, come sono anche il Data Act, l’Artificial Intelligence Act o DORA, che caratterizzano un panorama che sta cambiando in maniera sostanziale. «Viviamo un momento in cui la normazione pervade il fenomeno cibernetico perché il fenomeno cibernetico pervade la nostra vita – ha affermato l’avvocato Giuseppe Serafini –. In questo senso la direttiva di fatto riconosce grande importanza al fenomeno cibernetico e individua strumenti specifici di analisi del comportamento delle organizzazioni». In pratica, la NIS2 afferma che in ogni Paese UE deve esserci un’autorità di controllo che possa imporre audit periodici da parte di terze parti e che i costi di questi audit siano a carico del soggetto che li subisce, salvo situazioni specifiche in cui la mancata attribuzione del costo è giustificabile. Se sono riscontrate irregolarità, qualcuno ne deve rispondere. «Il legislatore dell’Unione ha rafforzato il concetto di governance – ha aggiunto Serafini – appuntando precisamente una responsabilità personale di chi ha la gestione dell’organizzazione. Questo è uno shift significativo perché finora il soggetto sanzionato era solo l’organizzazione stessa».

Avere le armi adatte ed essere conformi alla NIS2

Cips Informatica spiega la NIS2 nel suo roadshow, Cips Informatica spiega la NIS2 nel suo roadshow
Matteo Brusco distribution manager per Italia e Spagna di N-able

«La cybersecurity è cambiata perché sono cambiati gli attacchi, si sono modernizzati – ha sostenuto Matteo Brusco distribution manager per Italia e Spagna di N-able –. Se vogliamo contrastare certe attività dobbiamo usare gli strumenti giusti. Ricordiamo che l’intelligenza artificiale è nata per le organizzazioni criminali, che la usano da anni. La NIS2 vuole spingere a operare sullo stesso piano o perlomeno al meglio delle proprie possibilità». 

L’Italia è formata per il 90% da PMI le quali non hanno un IT manager e cercano di affidarsi a qualcuno che gestisca per la sicurezza. «Questo mostra l’importanza di system integrator, partner e vendor in grado di aiutarle – puntualizza Brusco –. Tuttavia, chi offre tale servizio tipicamente ha le credenziali di accesso del proprio cliente. E in quanto tale, diventa un punto vulnerabile per il cliente stesso, perché se è vittima di un attacco può subire il furto di tutte le credenziali. Ecco perché chi vuole continuare a lavorare con soggetti che rientrano nella NIS2 deve a sua volta adeguarsi alla normativa». E, molto probabilmente, col tempo, la richiesta della certificazione NIS2 diventerà un prerequisito per ogni contratto, a prescindere dal fatto che sia davvero necessaria.

Una più semplice gestione della sicurezza

Cips Informatica spiega la NIS2 nel suo roadshow, Cips Informatica spiega la NIS2 nel suo roadshow
Francesco Addesi, country manager di Sangfor Italia

Oggi i dipendenti di un’azienda devono poter lavorare sempre e dovunque in sicurezza. «Chi si occupa di cybersecurity deve preoccuparsi che gli endpoint siano protetti e che gli utenti possano lavorare in maniera sicura e funzionale – ha dichiarato Francesco Addesi, country manager di Sangfor Italia. Le tecnologie che proteggono dai rischi di sicurezza non devono diventare un ostacolo per la produttività. Bisogna rendere pratico e funzionale ciò che il cliente vede come complesso». 

In passato si parlava di antivirus, poi di EDR (Endpoint Detection and Response), quindi di MDR (Managed Detection and Response). Oggi si parla di SASE (Secure Assess Service Edge). «Non è nulla di nuovo – ha precisato Addesi –, è la crasi di tutte le precedenti tecnologie, un unico agent per semplificare la gestione della sicurezza. Ma c’è bisogno di un consulente che aiuti in questo percorso. Sempre di più i system integrator diventeranno consulenti, sempre di più i vendor individueranno i trend di mercato per proteggere al meglio gli utenti finali. I vendor devono essere i consulenti dei propri partner nel seguire questa strada, in conformità alle normative». 

Tutto parte da un assessment

Cips Informatica spiega la NIS2 nel suo roadshow, Cips Informatica spiega la NIS2 nel suo roadshow
Maurizio Taglioretti, esperto di cybersecurity e Regional Manager SEUR di Netwrix

Maurizio Taglioretti, esperto di cybersecurity e Regional Manager SEUR di Netwrix, ha ripreso quanto detto da Addesi per rimarcare il valore del risk assessment: «È fondamentale. Tutto parte da lì: non si può rendere sicuro ciò che non si conosce o non si sa di avere. Questo vale per l’hardware e per il software, ma soprattutto per i dati. Nonostante la spesa in sicurezza aumenti, gli attacchi crescono vertiginosamente. Quindi le tecnologie ci sono, ma probabilmente non si utilizzano nella maniera corretta oppure non dialogano tra loro o non si riescono a configurare adeguatamente. La soluzione è l’assessment. Non è solo uno dei punti cardine della NIS2, ma manche del GDPR e di tutte le normative».

Taglioretti ha consigliato di leggere con attenzione l’articolo 21 della NIS2, dove in 10 punti viene precisato cosa si deve fare per adeguarsi, sia per il fornitore sia per l’utente finale. «Un assessment potrebbe portare a scoprire che molte delle richieste sono già implementate e, quindi, per essere compliant con la norma basta un numero limitato di interventi. Per esempio, le politiche di analisi dei rischi di sicurezza sono le stesse previste dal risk management dell’ENISA. Lo stesso vale per la gestione degli incidenti che è la medesima prevista dalla ISO 27.000. Per cui, se un’azienda è certificata, dovrebbe già seguire tali politiche». 

La NIS2 obbliga un ampio numero di aziende ad affrontare in modo più consapevole il problema della cybersecurity, definendo chiare responsabilità. In tal senso, rappresenta un’ottima opportunità per il canale, in particolare per i system integrator e gli MSP, che avranno l’occasione di instaurare un rapporto duraturo e proficuo con le imprese che saranno obbligati a soddisfare le richieste della normativa, mantenendo nel tempo il massimo livello di protezione consentito. Tuttavia, per poter cogliere tale opportunità, bisognerà essere adeguatamente informati e formati sul tema NIS2, essendo in prima persona compliant.

CIPS, quando la distribuzione non è una questione geografica

Con una sede decisamente inusuale per un’azienda IT, a Città di Castello, in un palazzo d’epoca all’interno di una delle zone più medievali dell’Umbria, dal 1991 Cips Informatica si occupa della gestione e della sicurezza delle infrastrutture informatiche. Nel 2023 ha registrato un fatturato di 8,3 milioni di euro (in crescita del 10,6% rispetto ai 7,5 milioni di euro del 2022). Annovera circa 600 partner dislocati in tutta Italia, molti dei quali sono MSP.

Nata come Value Added Distributor (VAD), oggi propone un listino composto da prodotti tecnologicamente complementari in modo da offrire ai partner soluzioni complete preconfezionate. L’attività dell’azienda ruota infatti attorno allo scouting tra brand meno noti a livello globale. Le soluzioni selezionate sono testate nei laboratori di Cips e ne viene verificata l’aderenza alle normative (prima fra tutte il GDPR). Ai partner viene anche fornita una valutazione del go to market attraverso la definizione di un modello commerciale.

Per Cips Informatica la formazione e l’informazione rivestono un ruolo essenziale. E il road show sul tema NIS2 va visto in questo senso. Tuttavia, non è che la più recente di una serie di attività organizzate dall’azienda, alcune delle quali volte proprio a incontrare i partner direttamente sul territorio. Inoltre, il distributore offre frequenti webinar tecnici, marketing e commerciali. In quest’ultimo periodo, grande attenzione è data al mondo dell’MSP, in particolare per fornire le competenze adatte a trasformare il modello di vendita da prodotto a servizio. 

Cips Informatica, per intensificare l’attività di informazione,  ha allestito due siti con contenuti pratici e utili all’attività lavorativa: 

  • Cipslegal, che propone testi scritti da esperti dell’informatica forense;
  • Digital Channel Forum, spazio dove i partner possono trovare notizie ad ampio spettro sul mondo IT.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

LEGGI ANCHE

Gli ultimi articoli