Direttiva NIS2: uno studio Zscaler mette in evidenza criticità e opportunità
Una ricerca di Zscaler evidenzia l’urgente necessità di agire nei settori delle infrastrutture critiche per mitigare i rischi di non conformità con le norme NIS2
Una nuova ricerca di Zscaler suggerisce una discrepanza tra la fiducia che le aziende europee hanno di raggiungere l’obiettivo della conformità alla direttiva NIS 2 prima della scadenza del 17 ottobre 2024, quando entrerà in vigore, e la comprensione di ciò che richiederà il raggiungimento di tale conformità. Secondo il report di Zscaler NIS2 & Beyond: Risk, Reward & Regulation Readiness, per il quale sono stati intervistati più di 875 responsabili IT in sei mercati europei, l’80% dei responsabili IT (77% in Italia) è fiducioso che la propria azienda soddisferà i requisiti di conformità alla direttiva NIS2 prima della scadenza, e il 14% (13% in Italia) afferma di averli già soddisfatti.
Solo il 53% (48% in Italia) dei responsabili IT, tuttavia, ritiene che i propri team comprendano appieno i requisiti necessari per essere conformi alla direttiva, e ancora meno (49% sia in Europa che in Italia) ritiene che lo faccia la dirigenza aziendale. I CISO devono formare immediatamente tutti gli stakeholder interessati, partendo dal livello del consiglio di amministrazione fino ai responsabili di sezioni e ai dipendenti dell’azienda, per garantire la conformità prima della data prevista.
La dirigenza aziendale deve agire al più presto
L’esame del divario tra fiducia e comprensione rivela una certa discrepanza tra il modo in cui i leader parlano della direttiva NIS2 e il modo in cui agiscono a riguardo. Gli intervistati indicano che i manager riconoscono la crescente importanza delle direttive NIS 2, con un terzo (32% in Europa, 37% in Italia) che afferma che si tratta di una priorità assoluta per la propria dirigenza e il 52% (47% in Italia) che afferma che sta diventando una priorità maggiore. Tuttavia, ciò non sembra riflettersi nel supporto offerto ai team IT delle aziende che si assumono l’onere del processo di conformità. La maggior parte dei responsabili IT (56% in Europa, 59% in Italia) ritiene che i propri team non ricevano il supporto necessario da parte della dirigenza per rispettare la scadenza della conformità.
Stefano Alei, Transformation Architect dichiara: “Sebbene sembri esserci una certa fiducia nel fatto che le aziende raggiungeranno la conformità NIS 2 entro la scadenza in avvicinamento, la nostra ricerca suggerisce che questa convinzione potrebbe poggiare su fondamenta scarsamente solide, o per meglio dire: ottimistiche. Se non si fa attenzione, molte aziende potrebbero trovarsi a correre verso l’obiettivo, trascurando altri processi di cybersecurity, cosa che il 60% dei responsabili IT (58% in Italia) ha ammesso essere possibile. I dirigenti devono agire subito e fornire ai loro team IT il supporto necessario per evitare di saltare i passaggi chiave del loro percorso di conformità e rischiare gravi conseguenze finanziarie e organizzative“.
Piccoli miglioramenti o un’importante revisione delle strutture?
Sebbene la direttiva NIS2 si basi sul quadro NIS esistente, il 62% (71% in Italia) degli intervistati ritiene che si discosti in modo significativo da ciò che utilizzano attualmente. Per essere conformi, i leader IT devono apportare i cambiamenti più significativi nelle aree dello stack tecnologico e delle soluzioni di cybersecurity (34% in Europa, 28% in Italia), della formazione dei dipendenti (20% in Europa, 17% in Italia) e della leadership (17% in Europa, 16% in Italia). Alla domanda sulle aree aziendali più impegnative per la conformità alla direttiva, gli intervistati hanno indicato:
- la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi (31% in Europa, 35% in Italia),
- le pratiche di igiene informatica di base e la formazione in materia di cybersecurity (30% in Europa, 26% in Italia),
- le policy e le procedure per l’efficacia delle misure di gestione del rischio di cybersecurity (29% in Europa, 35% in Italia).
Allo stesso modo, mentre la direttiva NIS2 si propone di incorporare requisiti di sicurezza informatica fondamentali, la survey suggerisce che molte aziende in Europa non siano così avanti con i loro standard di sicurezza informatica come dovrebbero. Solo il 31% degli intervistati (23% in Italia) definirebbe il proprio livello di igiene informatica “eccellente”.
Analizzando la survey dal punto di vista dei settori coinvolti a livello europeo, quello dei trasporti e dell’energia hanno registrato un livello di eccellenza in tal senso molto più basso, invece, con solo il 14% dei responsabili IT del settore trasporti che ha dichiarato di aver raggiunto questo obiettivo e il 21% delle aziende del settore energetico. Questi dati suggeriscono che sono poche le aziende in alcuni settori delle infrastrutture critiche che si sono tenute al passo con le revisioni di sicurezza negli ultimi anni, il che potrebbe causare maggiori problemi quando quest’anno si svolgeranno i controlli di conformità alla direttiva NIS2.
James Tucker, Head of CISO di Zscaler afferma: ”Le normative da sole non saranno mai la risposta a un’igiene di primo livello in materia di cybersecurity, soprattutto se si considera la portata della sfida della cybersecurity. Infatti, il 53% dei nostri intervistati (59% in Italia) ha dichiarato che le norme NIS2 non sono sufficienti considerando la sfida che si trovano ad affrontare le aziende. Piuttosto che un problema da risolvere, le normative dovrebbero quindi essere viste come un’opportunità per migliorare la sicurezza di base. Le normative devono diventare parte integrante delle revisioni dei processi in corso in azienda, invece di essere un’attività separata che i team IT devono affrontare. Le aziende dovrebbero sfruttare questa opportunità per rivedere l’entità dei loro stack tecnologici e trovare il modo di semplificare e tracciare l’hardware e il software attraverso un’unica piattaforma per evitare la complessità nel loro ambiente aziendale”.
Superare le sfide: il ruolo di Zscaler
La direttiva NIS2 sottolinea la responsabilità delle aziende nel garantire la sicurezza delle reti e dei sistemi informativi con una cultura di governance e una gestione completa dei rischi. Devono adottare misure tecniche, operative e organizzative proattive per gestire i rischi legati alla sicurezza delle reti e dei sistemi informativi. Zscaler offre funzionalità di sicurezza complete con la sua piattaforma di sicurezza cloud Zero Trust Exchange ottimizzata dall’intelligenza artificiale e progettata per aiutare le aziende a ridurre al minimo la superficie di attacco e garantire l’efficacia dei controlli di sicurezza applicati nell’ambito del programma di governance e gestione del rischio dei clienti con l’aiuto di:
Zscaler Internet Access e Zscaler Private Access – Forniscono protezione dalle minacce, protezione dei dati e applicazione delle policy controllando i flussi di traffico e fornendo log di eventi e transazioni di sicurezza utilizzati per il monitoraggio e le indagini sulla sicurezza.
Riduzione della superficie di attacco – Zero Trust Exchange garantisce che gli utenti non siano inseriti nella rete e che le applicazioni non siano mai esposte a Internet, riducendo in modo significativo la superficie di attacco. Inoltre, fornisce una policy di controllo degli accessi alle applicazioni interne.
Zscaler Risk360 – consente il monitoraggio continuo e il rilevamento delle vulnerabilità, permettendo alle aziende di gestire in modo proattivo i rischi per la sicurezza.
La direttiva NIS2 è un atto legislativo che mira ad aumentare il livello minimo di sicurezza informatica in tutta l’Unione Europea, prevede inoltre di espandere la base di applicazione, includendo più settori merceologici e riducendo la dimensione delle aziende, di armonizzare la condivisione delle delle comunicazioni e di far rispettare la conformità non solo imponendo multe, ma anche con potenziali problemi legali per i team di gestione.
Metodologia
Lo scopo di questa ricerca è stato quello di studiare come le aziende si stanno preparando a recepire la nuova normativa NIS 2, le sfide che stanno affrontando e a che punto sono nel loro percorso verso il raggiungimento della conformità. L’indagine è stata condotta su oltre 875 responsabili IT di aziende con più di 500 dipendenti, nel Regno Unito, Francia, Germania, Italia, Spagna, Paesi Bassi e Belgio (Benelux).
Contenuti correlati
-
Le previsioni di Unit 42: Il 2025 sarà l’anno della disruption
Sam Rubin di Unit 42 di Palo Alto Networks analizza e condivide le tendenze di cybersecurity del 2025: “Anno delle interruzioni delle attività”, è questo il termine che contraddistinguerà il 2025, che si presenta come un periodo...
-
Investimenti digitali in Italia, +1,5% nel 2025 secondo gli Osservatori del PoliMi
Nonostante l’incertezza economica, le aziende italiane confermano gli investimenti nel digitale, ritenuto essenziale per mantenere competitività. Secondo i dati della ricerca degli Osservatori Startup Thinking e Digital Transformation Academy del Politecnico di Milano, per il 2025 si...
-
Digitalizzazione, IoT e cybersecurity: il nuovo volto del mobile hydraulics
Grazie alle tecnologie IoT, il comparto mobile hydraulics si dirige verso una continua integrazione tra automazione, connettività e gestione intelligente dei dati. Il settore mobile hydraulics sta attraversando una trasformazione senza precedenti. L’integrazione delle tecnologie IoT e...
-
Il valore dei digital twin per la sostenibilità nell’offerta di Shin Software
Shin Software, azienda attiva nello sviluppo di soluzioni innovative come la tecnologia Digital Twin, si caratterizza come partner strategico per l’industria, con un forte impegno verso i principi ESG. Recentemente, l’azienda ha partecipato alla fiera Automation &...
-
Safety+ per una sicurezza funzionale più produttiva
B&R, divisione del gruppo ABB, presenta Safety+, un approccio aperto e innovativo alla programmazione delle funzioni di sicurezza. Gli sviluppatori possono ora utilizzare anche gli ultimi strumenti e metodi di ingegneria del software per applicazioni di sicurezza....
-
InnoPPE di Innodisk aumenta la sicurezza negli ambienti industriali ad alto rischio
Innodisk, fornitore attivo a livello mondiale di soluzioni di intelligenza artificiale, ha introdotto l’innovativa soluzione di riconoscimento InnoPPE basata sull’intelligenza artificiale per migliorare la sicurezza e la conformità negli ambienti industriali ad alto rischio. Questa soluzione basata...
-
Scuole e cybersecurity, ecco il patentino di cittadinanza digitale per gli studenti
“Noi cittadini digitali” è la nuova iniziativa di education di Trend Micro indirizzata agli studenti delle scuole italiane in collaborazione con Junior Achievement Italia, parte di Junior Achievement Worldwide, la più vasta organizzazione non profit al mondo...
-
Zero Trust e la segmentazione della rete
Un approccio alla sicurezza Zero Trust e una corretta segmentazione della rete garantiscono la conformità alla direttiva NIS2 e proteggono le reti OT in caso di accessi da remoto da parte di fornitori terzi I professionisti della...
-
Mancano 5 milioni di esperti di cybersecurity – e adesso?
ISC2, la principale organizzazione non-profit al mondo per i professionisti della sicurezza informatica, ha stimato che quest’anno la carenza di professionisti della cybersecurity raggiungerà quota 4,8 milioni, segnando una crescita del 19% su base annua. Il gap...
-
Non c’è innovazione senza cybersecurity: il caso Dolomiti Energia
La cybersecurity è diventata una priorità per le aziende, da quando la tecnologia e l’innovazione hanno permeato i processi di produzione e di comunicazione. Da questa consapevolezza è nata la necessità del Gruppo Dolomiti Energia, a seguito...