NIS2: cosa comporta la nuova direttiva europea per le organizzazioni

L’innovazione tecnologica richiede una maggiore regolamentazione per assicurare la sicurezza e la responsabilità delle organizzazioni. Per questo motivo l’Unione Europea ha dato l’esempio con il GDPR prima e ora con la direttiva NIS2, la più avanzata al mondo in materia di sicurezza informatica.

Per capire bene come la nuova direttiva impatterà sulle organizzazioni europee, ci siamo rivolti a Ben Todd, RVP Security Solutions, EMEA di Dynatrace. Proviamo a fare il punto della situazione.

Cos’è la direttiva NIS2 (e cosa prevede)

La NIS2 è una revisione di una direttiva del 2016 che stabiliva requisiti di gestione del rischio e di notifica degli incidenti di cybersicurezza per alcuni settori considerati essenziali. La nuova direttiva amplia il campo di applicazione a molti altri settori, aumenta le sanzioni in caso di violazione e impone scadenze più brevi per la segnalazione degli incidenti.

Le organizzazioni hanno tempo fino al 17 ottobre 2024 per adeguarsi alla NIS2, ma devono iniziare subito i processi di conformità, che richiedono circa un anno.

Più in generale la NIS2 nasce per contrastare la crescente minaccia degli attacchi informatici, sempre più frequenti e sofisticati. Tuttavia, soddisfare i requisiti della direttiva non è semplice, soprattutto per le organizzazioni che non erano abituate a norme così severe. Per esempio, la NIS2 prevede che le organizzazioni segnalino gli incidenti di sicurezza informatica entro 24 ore dal loro accadimento, fornendo una valutazione iniziale della gravità, dell’impatto e degli indicatori di compromissione. 

Entro 72 ore, devono poi inviare una notifica più dettagliata, e dopo un mese un rapporto finale con le lezioni apprese. Queste condizioni richiedono che le organizzazioni siano in grado di indagare e risolvere gli incidenti in modo rapido ed efficace, non solo di dimostrare la conformità in caso di audit.

Un problema per le organizzazioni?

Molte organizzazioni pensano di poter affrontare il problema assumendo più persone nel team di sicurezza, ma questa non è una soluzione sostenibile o a lungo termine. Infatti, c’è una carenza di specialisti della sicurezza, che sarà aggravata dalla NIS2, dato che molte organizzazioni cercheranno di assumerli per adeguarsi alla direttiva.

Inoltre, la complessità degli ambienti multicloud e delle pratiche di delivery native del cloud ha cambiato radicalmente il modo di fare sicurezza. Lo sviluppo del software è ora continuo, con più release e cicli di test più brevi, che aumentano il rischio di vulnerabilità non rilevate. Uno studio ha mostrato che solo il 50% dei CISO è sicuro che il proprio software sia stato completamente testato prima di essere messo in produzione.

Come adeguarsi?

Per soddisfare i requisiti di NIS2 e abilitare solide capacità di gestione delle vulnerabilità e degli incidenti, è fondamentale ottimizzare e automatizzare i processi di analisi e reporting della sicurezza. È umanamente impossibile fornire il livello di dettaglio e accuratezza sugli incidenti di sicurezza informatica che NIS2 richiede nei tempi specificati attraverso approcci manuali. Le organizzazioni necessitano di dati in tempo reale sul proprio livello di sicurezza e di visibilità end-to-end nel loro ambiente ibrido e multicloud.

Questo obiettivo può essere raggiunto solo facendo convergere la sicurezza con i dati di osservabilità e automatizzando l’analisi delle vulnerabilità a runtime per ottenere insights sulla gravità e sull’impatto degli incidenti. Grazie a queste informazioni, i team possono valutare immediatamente l’urgenza di qualsiasi vulnerabilità e identificare quali sistemi sono stati colpiti durante un incidente – essenziale per i rapporti di allerta. Possono anche accedere a insights su come classificare e risolvere i problemi, aiutandoli ad agire rapidamente.

Tuttavia, per raccogliere queste informazioni nel breve lasso di tempo necessario per conformarsi alla normativa NIS2, i team di sicurezza devono automatizzare il processo di estrazione di queste informazioni e di compilazione di report e notifiche di incidenti.

Andare oltre la conformità per adeguarsi alla direttiva NIS2

Le organizzazioni dovrebbero anche considerare come estendere queste capacità per andare oltre la conformità NIS2. Piuttosto che concentrarsi solo sulla rilevazione e segnalazione dei problemi nella produzione, dovrebbero mirare in primo luogo a impedire che si verifichino, attraverso un cambio di mentalità verso la sicurezza. 

Questo significa adottare un approccio shift-left per garantire che la sicurezza sia una componente critica nel ciclo di vita dello sviluppo del software. Molte organizzazioni sostengono di aver già effettuato lo shift-left, ma la maggior parte lo fa manualmente e senza visibilità end-to-end, il che ne limita l’impatto.

Ad esempio, i team di sicurezza e sviluppo devono lavorare insieme per garantire che il software non venga accettato fin dalle prime fasi della pipeline a meno che entrambi i team non siano più che certi che sia sicuro. I gate automatizzati di qualità e sicurezza sono un ottimo modo per rimuovere la fatica manuale che contraddistingue questo processo. Combinando queste funzionalità con i dati di osservabilità, le vulnerabilità o gli errori possono essere rilevati automaticamente, in modo che gli sviluppatori possano risolverli prima che il codice passi alla fase successiva di delivery.

“La scadenza del NIS2 si avvicina rapidamente e, con condizioni senza precedenti, le organizzazioni non possono permettersi di essere lente nel rispondere”, ci dice Ben Todd. “Le autorità di regolamentazione continueranno a diventare sempre più severe in materia di cybersecurity, quindi è giunto il momento per le organizzazioni di agire assicurandosi di avere la visibilità necessaria per essere al passo con i requisiti di conformità.”

Offerta

Miracase Porta Cellulare Auto [Nuovo Doppio Gancio in Acciaio] Supporto Telefono Auto Porta Telefono Auto per Presa D'aria Compatibile con iPhone 14/13/12 Samsung Xiaomi e Altri Smartphones Series

• 【MAI CADERE】 Il nuovissimo doppio gancio in metallo può essere applicato al nostro porta cellulare auto per migliorarne la struttura e offrire una presa forte alla presa d'aria in modo che il supporto telefono auto bocchette aria sia compatibile con la maggior parte delle auto. Nel frattempo, il supporto telefono auto può funzionare meglio anche in ambienti estremi. [ATTENZIONE: progettato per prese d'aria orizzontali e verticali.]
• 【Compatibilità universale】 I bracci regolabili ben progettati consentono al portacellulare auto universale Miracase di adattarsi a tutti i telefoni (4,0-7,0 pollici), custodie più spesse e altri dispositivi. Compatibile con iPhone 14/14 Plus/14 Pro/14 Pro Max/13/13 Pro/13 Pro Max/13 Mini/12/12 Pro/12 Pro Max/12 mini/11/11 Pro Max/11 Pro/XS MAX /XS/XR/X/8/8 Plus/7. Compatibile anche con Samsung Galaxy S23 Ultra/S23+/S23/S22 /S21/S10/S10+/S9/S8/S8+, LG e Xiaomi, ONEPLUS, Google, serie HUAWEI ecc.
• 【GUIDA STABILE E SICURA】 Con spugna e gomma dal design speciale, ripiano di supporto stabile e clip di sfiato per esperti, il porta telefono auto può offrire una presa più sicura per il tuo cellulare per garantire una guida più sicura e proteggere il tuo telefono da cadute o graffi. Il tuo telefono rimarrà saldamente nella base del telefono dell'auto e non ti distrarrà dalla guida.
• 【Facile Utilizzo con una Sola Mano】: grazie al pulsante di bloccaggio e rilascio rapido, puoi installare o rimuovere il telefono con facilità e sicurezza, consentendo un utilizzo pratico e veloce del montare.
• 【Rotazione a 360 Gradi】: Il portacellulare auto può essere ruotato di 360 gradi. È possibile posizionare il telefono in modalità orizzontale o verticale per una migliore esperienza di guida, a seconda delle preferenze.

15,25 EUR

Acquista su Amazon