NIS2: incentivo o freno all’innovazione nella cyber security? #finsubito prestito immediato

NIS2: ambito di applicazione e implicazioni per le aziende

L’ambito di applicazione della direttiva NIS2 è stato drasticamente ampliato: in alcuni Paesi, il numero di entità coperte salirà a circa 30.000 rispetto a NIS1 che riguardava solo 3.000 soggetti. Inoltre, le implicazioni per le aziende che non rispettano gli standard sono molto più gravi, con un inasprimento delle sanzioni in caso di mancato rispetto delle scadenze e responsabilità personale per i manager che le rappresentano.

I possibili effetti della NIS2 sulla cybersecurity nel continente

Ma è necessario chiedersi: che effetto avrà la NIS2 sulla cybersecurity nel continente? Assisteremo a un’impennata di investimenti nel settore cyber e, di conseguenza, a una nuova ondata di innovazione nel settore? O, al contrario, la rigidità della normativa soffocherà qualsiasi evoluzione e costringerà le aziende a un perenne gioco di recupero?

Necessità di potenziare la regolamentazione

L’esigenza di misure di cybersecurity più severe è innegabile. Secondo una recente ricerca di Palo Alto Networks e IDC solo il 28% dei Ciso in EMEA e LATAM testa regolarmente i propri piani di risposta agli incidenti.

Questo avviene in un momento in cui il panorama delle minacce si evolve rapidamente, soprattutto grazie all’AI generativa. Ad esempio, Unit 42 di Palo Alto Networks ha recentemente osservato un caso in cui i malintenzionati hanno estratto 2,5 terabyte di dati in sole 14 ore, dimostrando un livello di efficienza mai visto prima. Alla luce di queste statistiche, la Commissione Europea spera che questa storica direttiva sfoci in una nuova era di resilienza informatica e diventi un pilastro fondamentale della cultura organizzativa, e non un ripensamento.

NIS2: un catalizzatore o un freno per l’innovazione?

Le rigide disposizioni normative e la possibilità di sanzioni in caso di non conformità potrebbero spingere le aziende a mantenere un approccio prudente alla sicurezza informatica, comportamento non adeguato a un mondo in cui il panorama delle minacce si evolve rapidamente, diventando sempre più complesso.

Ad esempio, le imprese potrebbero scegliere di impiegare tecnologie legacy consolidate, anche se i sistemi di rilevamento più recenti, basati su intelligenza artificiale, potrebbero offrire un’identificazione più precisa e personalizzata delle minacce.

L’adozione di un approccio più innovativo consentirebbe invece non solo di proteggersi oggi, ma anche di essere a prova di futuro. Fortunatamente, la direttiva NIS2 – nelle sue premesse – invita le entità importanti ed essenziali a “perseguire l’integrazione di tecnologie che migliorano la sicurezza informatica, come l’intelligenza artificiale o i sistemi di machine learning, per migliorare le loro capacità e la sicurezza di reti e sistemi informativi”.

Misure di rischio ex ante o ex post

L’accademico Donald David Stewart Ferguson sostiene in un recente articolo^[1] che la limitata efficacia della Direttiva NIS2 è dovuta principalmente alla ristrettezza dell’ambito di applicazione delle misure di gestione del rischio di cybersecurity, compresa la mancanza di misure specifiche incentrate sulla fase di ricognizione di un cyberattacco. Si spera che la Commissione europea fornisca ulteriori indicazioni nel suo atto di esecuzione, nel corso del 2024, sulle misure preventive che gli enti dovrebbero adottare per identificare i comportamenti dannosi sulle loro reti prima dell’esecuzione di un incidente.

Le tecnologie che sfruttano machine learning e intelligenza artificiale possono aiutare a implementare misure di prevenzione e dovrebbero quindi essere inserite nelle leggi di attuazione della NIS2 dagli Stati membri.

Inoltre, l’enfasi posta dalla NIS2 su standard di cybersecurity uniformi e obblighi di segnalazione in tutti gli Stati membri può scoraggiare l’adattamento e l’innovazione di pratiche di cybersecurity personalizzate in base a esigenze e sfide organizzative specifiche. Ad esempio, le necessità di sicurezza del settore dei servizi finanziari sono enormemente diverse da quelle dei servizi postali, entrambi presenti nell’ambito di applicazione della NIS2.

I servizi finanziari devono far fronte a una maggiore complessità e gravità delle minacce che hanno un impatto diretto sulla stabilità economica e richiedono livelli di investimento più elevati, oltre a una rigorosa conformità normativa. I servizi postali possono non gestire transazioni finanziarie dirette della stessa scala, ma richiedono comunque solide misure di protezione per salvaguardare i dati personali e garantire continuità di business.

Verso un approccio personalizzato alla cybersecurity

Naturalmente, esistono già leggi specifiche legate alla cybersecurity per ogni settore, ma affinché le imprese ottengano una vera e propria sicurezza olistica, devono adottare un approccio personalizzato.

Come sappiamo, le attuali normative sulla cybersecurity non sono in grado di affrontare le sfide critiche della sicurezza. Un approccio più rigoroso a livello universale, come quello proposto dalla NIS2, potrebbe rappresentare una soluzione. Il suo framework ben definito lavorerà per infondere maggiore certezza al mercato, fornendo alle aziende una chiara tabella di marcia per la conformità. Questo approccio offre a NIS2 il potenziale per incoraggiare gli investimenti nello sviluppo di soluzioni innovative che soddisfino questi standard e si adattino alle singole entità.

Guidare l’innovazione attraverso la regolamentazione

NIS2 può stimolare l’innovazione nel settore della cybersicurezza in diversi modi. In primo luogo, la sua portata più ampia, che comprende una gamma più estesa di entità e settori, genererà un mercato significativamente più vasto per le soluzioni e i servizi di sicurezza. Questo aumento della domanda potrebbe fungere da potente catalizzatore per la trasformazione, in quanto le aziende si impegneranno a sviluppare soluzioni in grado di soddisfare esigenze in continua evoluzione.

Un esempio di questo sarebbe l’adozione di un approccio cyber che favorisca l’integrazione e il consolidamento di tecnologie e fonti di dati, invece di combinare molteplici proposte isolate incapaci di offrire una vista completa su endpoint, reti e ambienti cloud. In questo modo, le aziende godranno di una maggiore visibilità sulle minacce, rilevandole e intervenendo più rapidamente, e riducendo in ultima analisi il loro rischio potenziale, sia a livello di reputazione che finanziario. Questo approccio consente inoltre di scalare facilmente le operazioni di cybersecurity e di automatizzare molte attività che spesso vengono gestite manualmente, garantendo conformità a NIS2 in tutta l’impresa e rispettando le scadenze previste grazie a un’unica console di gestione e avvisi in tempo reale.

Il rispetto dei requisiti di conformità di NIS2

Il rispetto dei requisiti di conformità di NIS2 richiederà anche l’adozione di nuove tecnologie e pratiche di cybersecurity. Ad esempio, piattaforme di incident response potenziate, che integrino automazione e intelligenza artificiale per ridurre significativamente il tempo e le risorse necessarie per rispondere agli incidenti e garantire che le azioni siano coerenti e allineate alle best practice. L’intelligenza artificiale può anche fornire servizi di sicurezza avanzati, sfruttando ad esempio il filtering e la prevenzione delle minacce per prevenire quelle sofisticate basate su web, zero-day, attacchi evasivi command-and-control e dirottamenti DNS.

Infine, l’obiettivo comune di raggiungere la compliance a NIS2 promuoverà la collaborazione e la condivisione delle conoscenze tra aziende, stakeholder ed enti normativi. La collaborazione è parte integrante dell’innovazione e lo scambio di best practice, conoscenze e nuove tecnologie può portare a progressi significativi nel panorama della cybersecurity.

Creare nuove opportunità

Le aziende sono preoccupate di doversi conformare a questi requisiti, in particolare a causa dell’introduzione di sanzioni pecuniarie e responsabilità personale. Tuttavia, il potenziale di innovazione è innegabile. Il nuovo mercato creato da NIS2, unito all’enfasi posta su collaborazione e condivisione di conoscenze, aprirà la strada alla creatività nel settore della cybersecurity, destinata a trasformare il panorama di oggi.

Note

^[1] “The outcome efficacy of the entity risk management requirements of the NIS 2 Directive”, https://link.springer.com/article/10.1365/s43439-023-00097-8