In questo articolo Christoph Schuhwerk, CISO EMEA di Zscaler spiega il processo di conformità alla direttiva europea NIS 2, che diventerà legge a ottobre di quest’anno.
Buona lettura!
Sei fasi per gestire il processo di conformità alla direttiva NIS 2
Le nuove norme di sicurezza come la direttiva NIS 2 mirano a migliorare la sicurezza informatica di base che protegge settori critici come la pubblica amministrazione, le telecomunicazioni, l’energia, i trasporti o i servizi finanziari. Ciò contribuirà a ridurre la probabilità di un attacco informatico che potrebbe avere un impatto sui comuni cittadini. Ma se garantire la conformità a un quadro di sicurezza a livello EMEA può sembrare un compito scoraggiante per molte aziende, non è qualcosa che i membri del consiglio di amministrazione dovrebbero considerare come una minaccia, ma un’opportunità per raggiungere nuovi standard di sicurezza.
Con la nuova direttiva, la sicurezza informatica diventa finalmente una priorità per il management aziendale. In base alla direttiva NIS 2, la leadership aziendale è maggiormente responsabilizzata e può essere ritenuta personalmente responsabile se le linee guida vengono ignorate o se l’azienda non è conforme.
La direttiva è stata concepita per consentire alle aziende con un livello insufficiente di igiene informatica di adeguarsi agli standard di sicurezza, un investimento necessario per tenere il passo con la velocità in continua evoluzione degli attacchi informatici. Pertanto, questa evoluzione della sicurezza dovrebbe essere il prossimo passo logico in un percorso che la maggior parte delle aziende ha già intrapreso da anni.
Ma come possono le aziende che sono all’inizio del loro percorso di conformità iniziare a capire i requisiti della normativa NIS 2 estesa? Zscaler ha creato una guida in sei fasi per aiutare i responsabili aziendali a monitorare i progressi e avviare i cambiamenti necessari per raggiungere la conformità prima della scadenza prevista di ottobre, quando la direttiva NIS2 diventerà legge.
1. Le aziende devono registrarsi
In primo luogo, le aziende devono valutare se sono coinvolte dal nuovo campo di applicazione prima di agire di conseguenza. L’UE stima che più di 160.000 aziende e 15 settori dovranno conformarsi alla direttiva NIS 2, in quanto rientrano nell’ampliamento delle categorie per cui è richiesta. Tutti saranno soggetti a “requisiti più stringenti per la gestione del rischio e la segnalazione degli incidenti, una copertura più ampia dei settori e sanzioni più severe in caso di non conformità“. Partendo dalle basi gettate dalla direttiva NIS originale, la NIS 2 non solo amplia l’ambito di applicazione delle entità coperte, ma introduce anche misure di conformità più spinte. L’aggiornamento del campo di applicazione della direttiva ne amplia significativamente l’applicazione e introduce requisiti più severi sia per le entità categorizzate come “essenziali” sia per quelle definite “importanti”.
In base alla direttiva europea, ogni azienda che rientra nell’ambito di applicazione della NIS 2 deve registrarsi in modo proattivo su un portale fornito dall’autorità specifica del Paese. Il processo di registrazione sarà leggermente diverso in ogni Paese e purtroppo, al momento, questo portale di registrazione non è ancora attivo nella maggior parte dei Paesi dell’UE. Tuttavia, le aziende dovrebbero già familiarizzare con la direttiva UE, che sarà il modello per tutte le normative locali, per capire se rientrano nell’ambito di applicazione della NIS 2. Se hanno filiali in tutta l’UE, devono assicurarsi di adottare le misure necessarie per tutti i Paesi.
Una volta che le aziende hanno valutato la necessità di conformarsi e la registrazione è avvenuta, è necessario predisporre un piano per l’attuazione della direttiva.
2. Come organizzare il processo per raggiungere la conformità
Se un’azienda non utilizza ancora certificazioni o quadri normativi nell’area della sicurezza informatica, la direttiva NIS 2 è un buon punto di partenza. Se esistono altri quadri di riferimento per la sicurezza informatica, lo sforzo aggiuntivo verso il NIS 2 dovrebbe essere limitato, poiché molti dei requisiti sono già noti nei quadri comuni di riferimento. La mappatura di questi quadri è un buon punto di partenza per organizzare il processo di conformità. Tali mappature sono ora disponibili pubblicamente o possono essere ottenute dai fornitori di servizi.
L’allineamento ai quadri di sicurezza a livello UE non è qualcosa che la dirigenza di un’azienda può delegare al team della sicurezza, disinteressandosene e scaricandosi di responsabilità. Se viene rilevata la mancata conformità le ripercussioni a livello finanziario, sia per l’azienda che per i singoli, possono essere severe, con potenziali sanzioni per i comportamenti più gravi.
I dirigenti aziendali devono prendere sul serio le normative e mettere in campo team con le conoscenze e l’esperienza necessarie per verificare gli asset e le policy attuali con il rigore e il livello di dettaglio necessari.
3. Creare il team NIS 2
La responsabilità dell’intero processo NIS 2 dovrebbe, verosimilmente, ricadere sull’ufficio del CISO, che può delegare le fasi appropriate a un gruppo di progetto più ampio, assicurando la disponibilità di esperti in materia provenienti da vari settori dell’azienda. Prima di creare qualsiasi squadra interna, è necessario assegnare un capo progetto che possa guidare l’audit e suddividere i documenti riguardanti la direttiva NIS2 per garantire le migliori pratiche in tutti gli uffici e i fornitori terzi. Avere un’unica persona responsabile della revisione dei documenti significa che l’azienda si allinea a un’unica interpretazione del quadro normativo, piuttosto che a molteplici variazioni tra le varie regioni.
In base alle diverse sezioni della direttiva NIS 2, il responsabile del progetto deve coinvolgere esperti in materia per supportare il più ampio team della sicurezza informatica.
Molte grandi aziende avranno già una divisione specifica all’interno del team legale o della sicurezza che si occupa di certificazioni e audit, e questo approccio dovrebbe essere adottato per la conformità NIS 2. Questi soggetti avranno una conoscenza approfondita del patrimonio tecnologico e saranno in grado di identificare molto più rapidamente le aree dell’azienda più carenti in termini di sicurezza.
Per le aziende più piccole che non dispongono di questi sottogruppi o del budget necessario per crearne uno, l’approccio migliore sarebbe quello di creare una task force congiunta che raccolga il giusto livello di conoscenze su cosa cercare durante l’audit.
4. Revisione della gestione dell’inventario per confermare il profilo di rischio
Uno dei maggiori sforzi per qualsiasi audit di conformità deriva dal fatto che i team non hanno una visione completa delle tecnologie e delle risorse all’interno dell’ambiente aziendale, a causa delle lacune nella gestione dell’inventario. Più l’infrastruttura IT è complessa, più è difficile mappare l’impronta del rischio. Se le aziende non sanno cosa devono proteggere, non sapranno come farlo. Comprendere i punti ciechi nella configurazione di un’infrastruttura di sicurezza sarà una priorità per i responsabili del progetto prima di iniziare ad affrontare i problemi di conformità; per questo motivo l’esame delle risorse disponibili è un prerequisito del processo.
La complessità organizzativa può implicare ulteriori sforzi al processo di conformità, ad esempio quando le divisioni aziendali hanno i propri processi di governance IT indipendenti. Ciò si verifica spesso quando le aziende hanno responsabilità diverse per i workload IT e OT, che rientrano entrambi nella governance NIS 2. Il team del progetto NIS 2 deve allineare e conoscere l’intero set di tecnologie per determinare il profilo di rischio completo per l’azienda.
Il nostro consiglio è di utilizzare un sistema centrale di gestione degli asset in tutte le divisioni aziendali e tecnologiche. Sul mercato sono disponibili diverse soluzioni per accelerare il processo attraverso la scansione intelligente e il miglioramento dei dati basato sull’intelligenza artificiale. Poiché molte aziende crescono anche attraverso acquisizioni regolari, i nuovi stack tecnologici dovranno essere aggiunti al processo di auditing e conformità.
5. Risparmiare tempo trasferendo i risultati di audit esistenti alla direttiva NIS 2
Molte aziende devono già allineare parti della loro attività ad altre norme e direttive per essere conformi. Quei risultati possono essere riutilizzati e dovrebbero essere applicati alle rispettive aree NIS 2. Nel migliore dei casi, potrebbero già direttamente corrispondere ai requisiti richiesti dalla direttiva NIS 2 anche a livello locale.
Se le aziende individuano un divario significativo tra i quadri normativi, il team di progetto dovrà pianificare il percorso più efficace e rapido per raggiungere la conformità nei pochi mesi rimanenti a disposizione. Potrebbe essere utile collaborare con partner competenti per capire quale tecnologia deve essere sviluppata e come i requisiti possono essere soddisfatti, interferendo il meno possibile con l’attività quotidiana e con la minima complessità.
6. Eliminare la complessità dell’infrastruttura
Il processo di riflessione sulla conformità precedente prevedeva l’acquisto di nuove tecnologie per soddisfare i requisiti, ma ciò ha lasciato le aziende con un elevato debito tecnologico. La maggior parte dei gruppi della sicurezza si troverà in difficoltà con la conformità alla direttiva NIS 2. Molte aziende si rivolgono alle principali piattaforme di sicurezza basate sul cloud per semplificare la complessità della loro tecnologia, creando un punto di connessione comune per tutti gli uffici e instillando un livello base di igiene della sicurezza che facilita le verifiche.
Il consolidamento degli stack tecnologici disponibili ridurrà rapidamente la complessità e renderà il processo di conformità un’attività molto più agevole in futuro. Una best practice comprovata è la combinazione delle tre-cinque grandi piattaforme più rilevanti a favore di un ecosistema IT complessivo, che copra l’intera difesa della sicurezza informatica: rilevamento, risposta, deception e gestione degli incidenti per i dispositivi sul posto di lavoro, i workload on premise e in cloud. Per ridurre la complessità, è particolarmente importante che tali piattaforme si integrino l’una con l’altra senza problemi, utilizzando API predefinite.
Per le aziende con uffici in più Paesi in Europa e altri continenti, la conformità NIS 2 presenta un ulteriore livello di complessità. Anche se la loro attività è gestita centralmente da un’unica sede, ogni filiale deve essere conforme alla direttiva NIS 2 e allineata alla sede centrale dal punto di vista della sicurezza.
Conclusioni
Sebbene il processo di audit possa sembrare lungo e impegnativo, tutte le aziende dovrebbero investirvi per comprendere meglio il proprio profilo di rischio e conoscere l’estensione della propria infrastruttura tecnologica. Molte aziende rimarranno scioccate dal numero di stack tecnologici che gestiscono e saranno naturalmente preoccupate da quanto sia diventato complesso il loro funzionamento interno. Ora che mancano pochi mesi all’entrata in vigore della direttiva NIS 2, è il momento di impegnarsi seriamente ed evitare che si perdano dei passaggi lungo il percorso verso la conformità. Gli sforzi non sono vani, perché ottenere visibilità su tutti i flussi di dati potrebbe rivelarsi la base per gli obiettivi futuri di un’azienda, che si tratti di OT/IoT, 5G o di qualsiasi altro suggerimento per rendere l’infrastruttura sicura e a prova di futuro.
di Christoph Schuhwerk, CISO EMEA di Zscaler