Manca solo qualche mese per adeguarsi alla direttiva NIS 2, un atto legislativo che mira ad aumentare il livello minimo di sicurezza informatica in tutta l’Unione Europea.
Una nuova ricerca di Zscaler, specialista della sicurezza cloud, suggerisce una discrepanza tra la fiducia che le aziende europee hanno di raggiungere l’obiettivo della conformità alla direttiva NIS 2 prima della scadenza del 17 ottobre 2024, quando entrerà in vigore, e la comprensione di ciò che richiederà il raggiungimento di tale conformità. Secondo il report di Zscaler NIS 2 & Beyond: Risk, Reward & Regulation Readiness, per il quale sono stati intervistati più di 875 responsabili IT in sei mercati europei, l’80% dei responsabili IT (77% in Italia) è fiducioso che la propria azienda soddisferà i requisiti di conformità alla direttiva NIS 2 prima della scadenza, e il 14% (13% in Italia) afferma di averli già soddisfatti. Solo il 53% (48% in Italia) dei responsabili IT, tuttavia, ritiene che i propri team comprendano appieno i requisiti necessari per essere conformi alla direttiva, e ancora meno (49% sia in Europa che in Italia) ritiene che lo faccia la dirigenza aziendale. I CISO devono formare immediatamente tutti gli stakeholder interessati, partendo dal livello del consiglio di amministrazione fino ai responsabili di sezioni e ai dipendenti dell’azienda, per garantire la conformità prima della data prevista.
Direttiva NIS 2: la dirigenza aziendale deve agire al più presto
L’esame del divario tra fiducia e comprensione rivela una certa discrepanza tra il modo in cui i leader parlano della direttiva NIS 2 e il modo in cui agiscono a riguardo. Gli intervistati indicano che i manager riconoscono la crescente importanza delle direttive NIS 2, con un terzo (32% in Europa, 37% in Italia) che afferma che si tratta di una priorità assoluta per la propria dirigenza e il 52% (47% in Italia) che afferma che sta diventando una priorità maggiore. Tuttavia, ciò non sembra riflettersi nel supporto offerto ai team IT delle aziende che si assumono l’onere del processo di conformità. La maggior parte dei responsabili IT (56% in Europa, 59% in Italia) ritiene che i propri team non ricevano il supporto necessario da parte della dirigenza per rispettare la scadenza della conformità.
Piccoli miglioramenti o un’importante revisione delle strutture?
Sebbene la direttiva NIS 2 si basi sul quadro NIS esistente, il 62% (71% in Italia) degli intervistati ritiene che si discosti in modo significativo da ciò che utilizzano attualmente. Per essere conformi, i leader IT devono apportare i cambiamenti più significativi nelle aree dello stack tecnologico e delle soluzioni di cybersecurity (34% in Europa, 28% in Italia), della formazione dei dipendenti (20% in Europa, 17% in Italia) e della leadership (17% in Europa, 16% in Italia). Alla domanda sulle aree aziendali più impegnative per la conformità alla direttiva, gli intervistati hanno indicato:
- la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi (31% in Europa, 35% in Italia),
- le pratiche di igiene informatica di base e la formazione in materia di cybersecurity (30% in Europa, 26% in Italia),
- le policy e le procedure per l’efficacia delle misure di gestione del rischio di cybersecurity (29% in Europa, 35% in Italia).
Allo stesso modo, mentre la direttiva NIS 2 si propone di incorporare requisiti di sicurezza informatica fondamentali, la survey suggerisce che molte aziende in Europa non siano così avanti con i loro standard di sicurezza informatica come dovrebbero. Solo il 31% degli intervistati (23% in Italia) definirebbe il proprio livello di igiene informatica “eccellente”. Analizzando la survey dal punto di vista dei settori coinvolti a livello europeo, quello dei trasporti e dell’energia hanno registrato un livello di eccellenza in tal senso molto più basso, invece, con solo il 14% dei responsabili IT del settore trasporti che ha dichiarato di aver raggiunto questo obiettivo e il 21% delle aziende del settore energetico. Questi dati suggeriscono che sono poche le aziende in alcuni settori delle infrastrutture critiche che si sono tenute al passo con le revisioni di sicurezza negli ultimi anni, il che potrebbe causare maggiori problemi quando quest’anno si svolgeranno i controlli di conformità alla direttiva NIS 2.
Superare le sfide della direttiva NIS 2: il ruolo di Zscaler
La direttiva NIS 2 sottolinea la responsabilità delle aziende nel garantire la sicurezza delle reti e dei sistemi informativi con una cultura di governance e una gestione completa dei rischi. Devono adottare misure tecniche, operative e organizzative proattive per gestire i rischi legati alla sicurezza delle reti e dei sistemi informativi. Zscaler offre funzionalità di sicurezza complete con la sua piattaforma di sicurezza cloud Zero Trust Exchange ottimizzata dall’intelligenza artificiale e progettata per aiutare le aziende a ridurre al minimo la superficie di attacco e garantire l’efficacia dei controlli di sicurezza applicati nell’ambito del programma di governance e gestione del rischio dei clienti con l’aiuto di:
- Zscaler Internet Access e Zscaler Private Access – Forniscono protezione dalle minacce, protezione dei dati e applicazione delle policy controllando i flussi di traffico e fornendo log di eventi e transazioni di sicurezza utilizzati per il monitoraggio e le indagini sulla sicurezza.
- Riduzione della superficie di attacco – Zero Trust Exchange garantisce che gli utenti non siano inseriti nella rete e che le applicazioni non siano mai esposte a Internet, riducendo in modo significativo la superficie di attacco. Inoltre, fornisce una policy di controllo degli accessi alle applicazioni interne.
- Zscaler Risk360 – consente il monitoraggio continuo e il rilevamento delle vulnerabilità, permettendo alle aziende di gestire in modo proattivo i rischi per la sicurezza.
Dichiarazioni
Stefano Alei Transformation Architect, dichiara “Sebbene sembri esserci una certa fiducia nel fatto che le aziende raggiungeranno la conformità NIS 2 entro la scadenza in avvicinamento, la nostra ricerca suggerisce che questa convinzione potrebbe poggiare su fondamenta scarsamente solide, o per meglio dire: ottimistiche. Se non si fa attenzione, molte aziende potrebbero trovarsi a correre verso l’obiettivo, trascurando altri processi di cybersecurity – cosa che il 60% dei responsabili IT (58% in Italia) ha ammesso essere possibile. I dirigenti devono agire subito e fornire ai loro team IT il supporto necessario per evitare di saltare i passaggi chiave del loro percorso di conformità e rischiare gravi conseguenze finanziarie e organizzative”.
James Tucker, Head of CISO di Zscaler, afferma:” Le normative da sole non saranno mai la risposta a un’igiene di primo livello in materia di cybersecurity, soprattutto se si considera la portata della sfida della cybersecurity. Infatti, il 53% dei nostri intervistati (59% in Italia) ha dichiarato che le norme NIS 2 non sono sufficienti considerando la sfida che si trovano ad affrontare le aziende. Piuttosto che un problema da risolvere, le normative dovrebbero quindi essere viste come un’opportunità per migliorare la sicurezza di base. Le normative devono diventare parte integrante delle revisioni dei processi in corso in azienda, invece di essere un’attività separata che i team IT devono affrontare. Le aziende dovrebbero sfruttare questa opportunità per rivedere l’entità dei loro stack tecnologici e trovare il modo di semplificare e tracciare l’hardware e il software attraverso un’unica piattaforma per evitare la complessità nel loro ambiente aziendale”.
