Si calcola che entro il 2025 non meno di ¾ delle aziende sarà vittima di ransomware. Una statistica che è frutto dei trend attuali, che rendono questo problema dominante tra le preoccupazioni relative alla cybersecurity. Questo significa che un gran numero di attività economiche, la maggior parte, potrebbe registrare fenomeni di violazione e sottrazione dei dati ma soprattutto richieste di riscatto per poter accedere nuovamente ad informazioni vitali per il proprio business. I tempi di inattività medi dovrebbero attestarsi invece sui 22 giorni, con effetti estremamente negativi sulla continuità operativa. Come prepararsi contro questa minaccia? L’Unione Europea ha deciso di intervenire definendo dei nuovi standard per la Cybersecurity con la Direttiva 2022/2055, altrimenti nota come NIS2.
Cosa è la NIS2
La nuova Direttiva sulla Sicurezza delle Reti e delle Informazioni è stata adottata nel gennaio del 2023 e rappresenta un aggiornamento di disposizioni risalenti al 2016 con cui potenziare la Cyber Sicurezza e la resilienza delle organizzazioni pubbliche e private.
Tra gli elementi di novità della NIS2 vi è sicuramente l’estensione della platea di soggetti obbligati all’adeguamento. Dato che gli stati membri dovranno recepire la direttiva entro il 17 ottobre 2024, quindi a breve, e che le sanzioni previste arrivano fino ai 10 milioni di euro nel caso di violazioni particolarmente gravi, prepararsi ad essere compliant diventa fondamentale.
Ad essere coinvolte sono anche le organizzazioni che hanno deciso di investire sul cloud per l’allocazione sicura dei propri dati e di quelli dei propri clienti. Per questo la conformità con la NIS2 passa anche dalla scelta di un provider affidabile. Ciò significa valutare soluzioni in grado di garantire sovranità dei dati, geo-limitazione dell’infrastruttura e Data Protection, come per esempio Cubbit che propone un servizio di Cloud Storage geo-distribuito, italiano e iper-resiliente.
Chi deve adeguarsi alla NIS2
La direttiva UE suddivide i soggetti obbligati all’adeguamento in due categorie: “essenziali” e “importanti”. I soggetti essenziali sono quelli che operano in comparti come quello energetico, sanitario, finanziario e bancario, spaziale, delle infrastrutture delle acque, delle infrastrutture digitali e dei trasporti. Ad essi si aggiunge ora la Pubblica Amministrazione, considerata anch’essa come un’organizzazione operante in un settore critico. Per quanto riguarda invece i soggetti importanti, sono classificati come tali quelli che appartengono ai comparti chimico e agroalimentare, alla gestione dei rifiuti, ai servizi postali e di corriere e ai servizi digitali. Tra questi ultimi rientrano anche i social network, i motori di ricerca, gli e-commerce e i Cloud provider.
La distinzione tra le due categorie è rilevante anche per il fatto che i soggetti essenziali dovranno essere vigilati a partire dall’introduzione della NIS2, mentre quelli importanti lo saranno nel caso in cui dovessero essere rilevate prove di mancanze in termini di compliance. A ciò si aggiunga che entro il 17 aprile 2025 i singoli stati dovranno stilare una lista di soggetti essenziali e importanti che dovrà essere revisionata ogni biennio. Tra le organizzazioni obbligate al rispetto della normativa rientreranno nuovi soggetti, come i fornitori di servizi per la registrazione di nomi a dominio, motivo per cui essere compliant sarà necessario ad un numero sempre più ampio di realtà.
La NIS2 nasce anche dall’esigenza di fronteggiare le nuove minacce derivanti dall’uso malevolo delle Intelligenze Artificiali Generative, aspetto che quando venne applicata la prima versione della Direttiva appariva meno problematico. L’obbiettivo è quello di promuovere la cultura della sicurezza rendendo le organizzazioni più preparate e consapevoli tramite l’adozione di apposite misure tecniche, operative ed organizzative. Ma quali sono gli interventi necessari per essere compliant? Quali i requisiti previsti dalla NIS2? Analizziamoli nel dettaglio e scopriamo perché il percorso che porta alla compliance può essere garantito da Cubbit, provider che offre un servizio di Cloud Storage sovrano, a perimetro italiano e compliant non solo con NIS2 ma anche con GDPR, ACN (ex AgID) e ISO 27001.
Come diventare NIS2 compliant
La Direttiva impone di specificare chiaramente gli asset, i servizi e i processi per i quali si devono effettuare gli interventi finalizzati alla conformità. Le misure da adottare devono essere orientate sempre alla tutela di sistemi, dati e reti in modo da prevenire tutte le possibili minacce.
Sono previste procedure apposite per valutare l’efficacia di tali interventi. Quindi le organizzazioni devono porre particolare attenzione anche nell’implementazione di politiche per l’analisi dei rischi e la sicurezza dei sistemi. Gli aspetti di cui tenere conto sono numerosi, si va infatti dall’adozione di strategie per il controllo degli accessi alla formazione del personale, dalla sicurezza delle comunicazioni (testuali, vocali e video) alla protezione degli account tramite autenticazione a due fattori o autenticazione continua, dalla regolazione di crittografia e cifratura tramite policy e procedure alla gestione puntuale degli incidenti.
Quest’ultimo punto è particolarmente rilevante perché le organizzazioni devono prevedere anche strategie di Disaster Ricovery e sistemi di Backup con cui garantire sempre la disponibilità dei dati, la loro accessibilità e la continuità operativa. Con la NIS2 vi è inoltre l’obbligo di segnalare gli incidenti. I più significativi, come per esempio le interruzioni di servizio, la sottrazione di informazioni sensibili, il furto di dati riservati o gli attacchi informatici su larga scala, dovranno essere comunicati alle autorità del proprio Stato che, a loro volta, saranno tenute e riportare l’accaduto alla Commissione Europea e alle altre autorità degli Stati membri.
La Direttiva stabilisce inoltre che le fasi di acquisizione, sviluppo e manutenzione di sistemi e reti debbano essere sottoposte a verifiche di sicurezza, tenendo conto del fatto che spesso gli “anelli deboli” della supply chain possono presentare criticità e vulnerabilità in grado di allontanare le organizzazioni da un percorso di compliance.
Mancata conformità e sanzioni
I soggetti obbligati devono adeguarsi alla NIS2 anche per evitare sanzioni molto consistenti nei casi più gravi. Le organizzazioni che rientrano nella categoria dei soggetti “essenziali” potrebbero dover pagare infatti fino a 10 milioni di euro o al 2% del fatturato annuo globale. Per quanto riguarda invece le realtà classificate come “importanti”, sono previsti fino a 7 milioni di euro o all’1.4% del fatturato annuo mondiale. Per calcolare l’entità della sanzione si terrà conto dell’importo più elevato tra i due.
Un partner Cloud affidabile può risultare determinante anche per scongiurare evenienze di questo genere. Cubbit, ad esempio, fornisce un servizio di Cloud Storage iper-resiliente dai disastri e a prova di ransomware grazie a object lock, versioning, IAM policy, crittografia e geo-distribuzione. Ciò azzera il rischio di sanzioni con in più il vantaggio di costi che arrivano ad essere fino all’80% più bassi rispetto a quelli di provider come AWS.
Essere NIS2 compliant con Cubbit
L’offerta di Cloud Storage proposta da Cubbit garantisce la compatibilità con S3 (Simple Storage Service), servizio di Object Storage pensato per archiviare e recuperare facilmente qualunque volume di dati da qualsiasi luogo. Si tratta di una caratteristica ormai essenziale per tutte le aziende che gestiscono dati in Cloud o hanno pianificato di migrare le proprie informazioni aziendali da un’infrastruttura on-premise, e quindi locale, ad una soluzione basata sull’allocazione in remoto, presso un Cloud provider.
Cubbit conta attualmente più di 5 mila tra partner e clienti, questo grazie ad una piattaforma a rischio zero implementata con un approccio alla Data Retention basato sull’iper-resilienza. Ciò rende il servizio nativamente conforme alla NIS2 garantendo protezione dei dati indipendentemente dai loro volumi e dalla loro natura e assicurandone l’integrità, la disponibilità e l’accessibilità anche in caso di incidenti, attacchi informatici su larga scala, guasti all’hardware e catastrofi naturali.
La soluzione di Cubbit prevede la frammentazione dei dati su più nodi geo-distribuiti nonché tecniche di ridondanza e replicazione multi-server, ciò garantisce anche la continuità di servizio dell’infrastruttura. Prima della loro frammentazione e distribuzione sui nodi, le informazioni protette vengono crittografate tramite standard di cifratura AES-256 perché divengano inaccessibili e illeggibili da estranei anche nel caso di tentativi di violazione e con un vantaggio per la privacy. I Data Center utilizzati sono collocati esclusivamente all’interno dei confini dell’Unione Europea, nessun dato viene trasmesso in nessuna forma all’esterno e la sovranità delle informazioni raccolte viene salvaguardata.
Gli utenti, inoltre, hanno sempre un controllo totale sui dati e possono gestire gli accessi in modo granulare, fornendo privilegi di lettura e modifica soltanto a chi dispone delle autorizzazioni necessarie. Non mancano poi opzioni avanzate per la personalizzazione, con una funzionalità come Cubbit DS3 Composer che consente di creare con pochi clic il proprio Cloud Storage geo-distribuito, iper-resiliente, sovrano e compatibile S3 al 100%.
Cubbit ha scelto di adottare un modello di storage Peer-to-peer evitando i rischi derivanti dalla centralizzazione. In ciascun nodo sono allocati soltanto pochi frammenti indistinguibili di dati. Anche se alcuni nodi dovessero subire dei danni le informazioni manterrebbero la loro integrità, i frammenti vengono infatti redistribuiti automaticamente su altri nodi e l’operatività è sempre garantita.
Conclusioni
La Direttiva europea NIS2 introduce nuovi standard per la sicurezza di sistemi, dati e reti, definisce i requisiti di conformità, identifica i soggetti obbligati ed elenca le misure necessarie per non incorrere in sanzioni che, in caso di violazioni, possono essere anche molto elevate. Per essere NIS2 compliant è fondamentale poter contare su un provider di Cloud Storage come Cubbit che grazie alla geo-distribuzione, ad un approccio alla Data Retention incentrato sull’iper-resilienza e ad un servizio di archiviazione in Cloud S3 compatibile, assicura sovranità dei dati con una soluzione tutta italiana.
In collaborazione con Cubbit
Ti potrebbe interessare
18 giu 2024