La Direttiva UE 2022/2055, o NIS2, ha l’obbiettivo di rafforzare la Cybersecurity e la resilienza delle organizzazioni private e pubbliche all’interno dell’Unione Europea. Adottata nel gennaio del 2023 non rappresenta però di una novità assoluta, la nuova Direttiva sulla Sicurezza delle Reti e delle Informazioni è infatti l’aggiornamento di una serie di disposizioni risalenti al 2016 con il quale viene ampliata innanzitutto la platea dei soggetti chiamati ad adeguarsi.
NIS2 dovrà essere recepita dagli Stati membri entro il 17 ottobre 2024: questo significa che i mesi a disposizione per essere compliant non sono molti ed è necessario prepararsi in tempo, anche per evitare sanzioni che, nei casi più gravi di violazione degli obblighi, potrebbero arrivare fino a 10 milioni di Euro.
La scelta del giusto partner diventa quindi fondamentale, soprattutto per quanto riguarda la sicurezza dei dati. Ma quali sono i criteri per la scelta del miglior provider? Cerchiamo di rispondere a questa domanda analizzando le funzionalità di un servizio di Cloud Storage Geo-distribuito, sovrano, iper-resiliente e italiano come quello di Cubbit. Perché la geo-limitazione, la sovranità dei dati e la Data Protection sono dei requisiti fondamentali per la conformità al NIS2.
NIS2: obbiettivi e soggetti obbligati
La direttiva NIS2 mira innanzitutto a potenziare la Cybersecurity nell’ambito dell’Unione, soprattutto in un contesto di minacce informatiche crescenti e sempre più sofisticate che hanno trovato nuove alleate nelle AI generative. Le organizzazioni interessate dagli obblighi di adeguamento devono essere preparate, consapevoli e promuovere una cultura della sicurezza. Con questo aggiornamento la portata della Direttiva viene estesa inoltre ad un maggior numero di comparti, fornendo delle linee guida comuni per l’uniformità delle legislazioni nazionali.
L’applicazione della NIS2 individua nuove categorie di soggetti “essenziali” e “importanti”. Tra i primi troviamo la Pubblica Amministrazione, ora classificata come essenziale al pari delle organizzazioni che operano in settori critici come quello sanitario, energetico, bancario e finanziario, spaziale, dei trasporti e delle infrastrutture delle acque e digitali. I soggetti “importanti” fanno riferimento, invece, ai comparti chimico e agroalimentare, alla gestione dei rifiuti, ai servizi postali e di corriere così come ai servizi digitali. Questo significa che anche i motori di ricerca, i social network, i Cloud provider e gli e-commerce devono essere NIS2 compliant.
La Direttiva prevede che i soggetti “essenziali” debbano essere sottoposti a vigilanza a partire dalla sua introduzione. Per quelli “importanti”, invece, le misure di vigilanza scattano ex-post una volta individuate le prove di mancata conformità. È bene però tener presente che entro il 17 aprile 2025 gli Stati membri dovranno definire l’elenco, da riesaminare ogni due anni, di soggetti “essenziali” ed “importanti” sottoposti agli obblighi, includendo anche i provider di servizi per la registrazione dei nomi a dominio. Il numero delle organizzazioni chiamate ad adeguarsi potrebbe quindi aumentare a seconda del loro profilo di rischio per la sicurezza e indipendentemente dalle dimensioni.
Essere NIS2 compliant significa adottare delle misure tecniche, operative ed organizzative stabilite per legge. Scopriremo ora in cosa consistono questi interventi, quali potrebbero essere le conseguenze della mancata conformità e perché una piattaforma in grado di soddisfare i requisiti previsti dalla Direttiva, come Cubbit, rappresenta la soluzione ideale per le imprese che desiderano trasformare i dati in valore tramite un servizio di Cloud storage efficiente. Sia dal punto di vista della Cybersecurity che da quello dei costi.
NIS2 e percorsi di compliance
NIS2 impone che i soggetti obbligati debbano specificare asset, processi e servizi per i quali è necessario adottare le misure di sicurezza previste. Ciascun settore può necessitare di interventi differenti ma l’obbiettivo è sempre lo stesso: tutelare sistemi, dati e reti tramite un approccio che le protegga contro diverse tipologie di rischio. Siano esse dovute a minacce esterne o interne.
L’implementazione di tali misure, la cui efficacia deve essere valutata tramite apposite procedure, include lo sviluppo di politiche per l’analisi dei rischi e la sicurezza dei sistemi. È poi necessario adottare una gestione efficace dei possibili incidenti, così come delle crisi (Disaster Recovery), nonché garantire continuità operativa grazie alla disponibilità di Backup. Particolare importanza hanno anche la formazione del personale in tema di Cybersecurity e l’uso di strategie per il controllo degli accessi da parte delle risorse umane. Nello stesso modo è necessario proteggere account e dati tramite autenticazione a due fattori, o autenticazione continua, e garantire la sicurezza delle comunicazioni testuali, vocali e filmate. L’impiego della crittografia e della cifratura deve essere regolato tramite policy e procedure.
La Direttiva richiede che le organizzazioni verifichino la sicurezza di sistemi e reti nelle fasi di acquisizione, sviluppo e manutenzione, prevedendo anche gli aspetti legati alla gestione delle vulnerabilità e alla loro divulgazione. Anche la catena di approvvigionamento deve offrire un livello di affidabilità elevato, perché la presenza di elementi o attori non NIS2 compliant (anche uno solo) potrebbe pregiudicare la sicurezza dell’intera supply chain.
Son poi previsti degli obblighi di segnalazione degli incidenti. Quelli più significati devono essere riferiti alle autorità competenti dello Stato di appartenenza che, a sua volta, deve darne notizia alle altre autorità nazionali e alla Commissione Europea per migliorare collaborazione e coordinamento in seno all’Unione. Rientrano nella categoria degli “incidenti significativi” episodi come, per esempio, gli attacchi informatici su larga scala, la violazione di dati personali o sensibili, la sottrazione di informazioni riservate e le interruzioni nell’erogazione di servizi.
Perché scegliere Cubbit per essere NIS2 compliant
Con una migrazione sempre più diffusa dei dati aziendali dalle configurazioni on-premise, cioè sviluppate localmente, al Cloud, quest’ultimo ha assunto una posizione rilevante anche nella definizione degli obblighi previsti dalla NIS2. Per questa ragione Cubbit offre un servizio di storage in Cloud S3 compatibile e nativamente compliant per qualsiasi realtà abbia la necessità di mettere al sicuro i propri dati. Indipendentemente dalle dimensioni.
Da questo punto di vista è fondamentale l’approccio di Cubbit alla Data Retention incentrato sull’iper-resilienza. Con oltre 5 mila tra partner, clienti e imprese che si affidano alle sue soluzioni, il provider implementa una piattaforma a rischio zero contro qualsiasi evento possa compromettere i dati o determinarne la perdita. Questo grazie alla loro frammentazione su più nodi geo-distribuiti e alla replicazione multi-server, tecniche di ridondanza con le quali le informazioni custodite sono sempre integre, disponibili e accessibili, anche nel caso in cui dovessero verificarsi guasti hardware, gravi malfunzionamenti, calamità naturali o cyberattacchi.
La protezione dei dati è dovuta anche al fatto che questi ultimi vengono crittografati con standard AES-256 prima della frammentazione e della distribuzione sui nodi. Tutte queste fasi avvengono esclusivamente su server collocati in Unione Europea: nessuna informazione viene trasmessa a terze parti e ciò determina un livello di sovranità digitale perfettamente conforme con NIS2. La frammentazione è anche una garanzia di privacy e soltanto i proprietari dei dati possono accedere ad essi, gli utenti hanno poi un controllo completo sulle informazioni tramite una gestione granulare di accessi e autorizzazioni. Soluzioni come Cubbit DS3 Composer permettono inoltre di creare e personalizzare il proprio servizio di Cloud Storage in pochi minuti, potendolo scalare in qualsiasi momento sulla base alle proprie esigenze.
Il modello adottato è quello dello storage P2P, infatti il sistema di allocazione in Cloud di Cubbit non è centralizzato: in ogni nodo vengono archiviati solo pochi frammenti non distinguibili dagli altri, ciò significa che anche in presenza di nodi danneggiati i dati risultano sempre recuperabili e la violazione o il malfunzionamento di un singolo nodo determina la redistribuzione automatica degli altri. Senza interruzioni di servizio.
Sanzioni in caso di mancata conformità
La mancata conformità alla Direttiva NIS2 potrebbe tradursi in sanzioni, anche molto onerose, che variano a seconda della violazione contestata, della classificazione attribuita all’organizzazione interessata e dell’entità dei ricavi. I “soggetti essenziali” rischiano di dover pagare fino a 10 milioni di euro o al 2% del fatturato annuo a livello mondiale. Quelli “importanti” possono incorrere invece in multe fino a 7 milioni di euro o all’1.4% del fatturato annuo globale. Il calcolo della sanzione avviene tenendo conto dell’importo più elevato tra i due.
Con il Cloud storage di Cubbit i costi di esercizio arrivano ad essere fino all’80% inferiori rispetto a quelli che si avrebbero con aziende che operano a livello globale come AWS. Perché rischiare quando, oltre alla Cybersicurezza, si possono ottimizzare anche gli investimenti?
Conclusioni
Al di là dell’entità delle sanzioni previste per il mancato adeguamento alla NIS2, il rispetto della Direttiva è fondamentale per garantire che i propri dati e quelli dei propri clienti siano sempre al sicuro. Essere compliant significa anche scegliere un partner in grado di garantire livelli di durabilità vicini al 100% (99,999999999% nel caso di Cubbit), rispetto della privacy, resistenza agli attacchi (inclusi ransomware e DDoS) e pieno controllo sulle informazioni memorizzate. Cubbit, servizio di Cloud storage tutto italiano che opera tramite una piattaforma geo-distribuita e sovrana, rappresenta la soluzione ideale per la Cybersecurity.