l’analisi

NIS2: incentivo o freno all’innovazione nella cyber security?



Indirizzo copiato

La direttiva NIS2 impone requisiti di sicurezza più stringenti per le reti e le informazioni in Europa, con scadenze e sanzioni più severe. Entro ottobre 2024, gli Stati membri devono conformarsi. Questo potrebbe stimolare investimenti e innovazione nel settore cyber, ma anche creare rigidità che potrebbero soffocare l’evoluzione tecnologica

Pubblicato il 27 set 2024

Michele Lamartina

Regional Vice President Italia, Grecia, Cipro & Malta di Palo Alto Networks



equalize dossieraggi

La direttiva NIS2 sulla sicurezza delle reti e delle informazioni è forse una delle più importanti normative sulla cybersecurity mai applicate in Europa. I 27 Stati membri dell’UE hanno tempo fino al 17 ottobre 2024 per adottare e pubblicare gli standard necessari per conformarsi a questa disposizione che prevede requisiti più stringenti, per il rafforzamento delle condizioni di sicurezza, e report più frequenti con scadenze più brevi sugli attacchi informatici.

NIS2: ambito di applicazione e implicazioni per le aziende

L’ambito di applicazione della direttiva NIS2 è stato drasticamente ampliato: in alcuni Paesi, il numero di entità coperte salirà a circa 30.000 rispetto a NIS1 che riguardava solo 3.000 soggetti. Inoltre, le implicazioni per le aziende che non rispettano gli standard sono molto più gravi, con un inasprimento delle sanzioni in caso di mancato rispetto delle scadenze e responsabilità personale per i manager che le rappresentano.

I possibili effetti della NIS2 sulla cybersecurity nel continente

Ma è necessario chiedersi: che effetto avrà la NIS2 sulla cybersecurity nel continente? Assisteremo a un’impennata di investimenti nel settore cyber e, di conseguenza, a una nuova ondata di innovazione nel settore? O, al contrario, la rigidità della normativa soffocherà qualsiasi evoluzione e costringerà le aziende a un perenne gioco di recupero?

Necessità di potenziare la regolamentazione

L’esigenza di misure di cybersecurity più severe è innegabile. Secondo una recente ricerca di Palo Alto Networks e IDC solo il 28% dei Ciso in EMEA e LATAM testa regolarmente i propri piani di risposta agli incidenti.

Questo avviene in un momento in cui il panorama delle minacce si evolve rapidamente, soprattutto grazie all’AI generativa. Ad esempio, Unit 42 di Palo Alto Networks ha recentemente osservato un caso in cui i malintenzionati hanno estratto 2,5 terabyte di dati in sole 14 ore, dimostrando un livello di efficienza mai visto prima. Alla luce di queste statistiche, la Commissione Europea spera che questa storica direttiva sfoci in una nuova era di resilienza informatica e diventi un pilastro fondamentale della cultura organizzativa, e non un ripensamento.

NIS2: un catalizzatore o un freno per l’innovazione?

Le rigide disposizioni normative e la possibilità di sanzioni in caso di non conformità potrebbero spingere le aziende a mantenere un approccio prudente alla sicurezza informatica, comportamento non adeguato a un mondo in cui il panorama delle minacce si evolve rapidamente, diventando sempre più complesso.

Ad esempio, le imprese potrebbero scegliere di impiegare tecnologie legacy consolidate, anche se i sistemi di rilevamento più recenti, basati su intelligenza artificiale, potrebbero offrire un’identificazione più precisa e personalizzata delle minacce.

L’adozione di un approccio più innovativo consentirebbe invece non solo di proteggersi oggi, ma anche di essere a prova di futuro. Fortunatamente, la direttiva NIS2 – nelle sue premesse – invita le entità importanti ed essenziali a “perseguire l’integrazione di tecnologie che migliorano la sicurezza informatica, come l’intelligenza artificiale o i sistemi di machine learning, per migliorare le loro capacità e la sicurezza di reti e sistemi informativi”.

Misure di rischio ex ante o ex post

L’accademico Donald David Stewart Ferguson sostiene in un recente articolo[1] che la limitata efficacia della Direttiva NIS2 è dovuta principalmente alla ristrettezza dell’ambito di applicazione delle misure di gestione del rischio di cybersecurity, compresa la mancanza di misure specifiche incentrate sulla fase di ricognizione di un cyberattacco. Si spera che la Commissione europea fornisca ulteriori indicazioni nel suo atto di esecuzione, nel corso del 2024, sulle misure preventive che gli enti dovrebbero adottare per identificare i comportamenti dannosi sulle loro reti prima dell’esecuzione di un incidente.

Le tecnologie che sfruttano machine learning e intelligenza artificiale possono aiutare a implementare misure di prevenzione e dovrebbero quindi essere inserite nelle leggi di attuazione della NIS2 dagli Stati membri.

Inoltre, l’enfasi posta dalla NIS2 su standard di cybersecurity uniformi e obblighi di segnalazione in tutti gli Stati membri può scoraggiare l’adattamento e l’innovazione di pratiche di cybersecurity personalizzate in base a esigenze e sfide organizzative specifiche. Ad esempio, le necessità di sicurezza del settore dei servizi finanziari sono enormemente diverse da quelle dei servizi postali, entrambi presenti nell’ambito di applicazione della NIS2.

I servizi finanziari devono far fronte a una maggiore complessità e gravità delle minacce che hanno un impatto diretto sulla stabilità economica e richiedono livelli di investimento più elevati, oltre a una rigorosa conformità normativa. I servizi postali possono non gestire transazioni finanziarie dirette della stessa scala, ma richiedono comunque solide misure di protezione per salvaguardare i dati personali e garantire continuità di business.

Verso un approccio personalizzato alla cybersecurity

Naturalmente, esistono già leggi specifiche legate alla cybersecurity per ogni settore, ma affinché le imprese ottengano una vera e propria sicurezza olistica, devono adottare un approccio personalizzato.

Come sappiamo, le attuali normative sulla cybersecurity non sono in grado di affrontare le sfide critiche della sicurezza. Un approccio più rigoroso a livello universale, come quello proposto dalla NIS2, potrebbe rappresentare una soluzione. Il suo framework ben definito lavorerà per infondere maggiore certezza al mercato, fornendo alle aziende una chiara tabella di marcia per la conformità. Questo approccio offre a NIS2 il potenziale per incoraggiare gli investimenti nello sviluppo di soluzioni innovative che soddisfino questi standard e si adattino alle singole entità.

Guidare l’innovazione attraverso la regolamentazione

NIS2 può stimolare l’innovazione nel settore della cybersicurezza in diversi modi. In primo luogo, la sua portata più ampia, che comprende una gamma più estesa di entità e settori, genererà un mercato significativamente più vasto per le soluzioni e i servizi di sicurezza. Questo aumento della domanda potrebbe fungere da potente catalizzatore per la trasformazione, in quanto le aziende si impegneranno a sviluppare soluzioni in grado di soddisfare esigenze in continua evoluzione.

Un esempio di questo sarebbe l’adozione di un approccio cyber che favorisca l’integrazione e il consolidamento di tecnologie e fonti di dati, invece di combinare molteplici proposte isolate incapaci di offrire una vista completa su endpoint, reti e ambienti cloud. In questo modo, le aziende godranno di una maggiore visibilità sulle minacce, rilevandole e intervenendo più rapidamente, e riducendo in ultima analisi il loro rischio potenziale, sia a livello di reputazione che finanziario. Questo approccio consente inoltre di scalare facilmente le operazioni di cybersecurity e di automatizzare molte attività che spesso vengono gestite manualmente, garantendo conformità a NIS2 in tutta l’impresa e rispettando le scadenze previste grazie a un’unica console di gestione e avvisi in tempo reale.

Il rispetto dei requisiti di conformità di NIS2

Il rispetto dei requisiti di conformità di NIS2 richiederà anche l’adozione di nuove tecnologie e pratiche di cybersecurity. Ad esempio, piattaforme di incident response potenziate, che integrino automazione e intelligenza artificiale per ridurre significativamente il tempo e le risorse necessarie per rispondere agli incidenti e garantire che le azioni siano coerenti e allineate alle best practice. L’intelligenza artificiale può anche fornire servizi di sicurezza avanzati, sfruttando ad esempio il filtering e la prevenzione delle minacce per prevenire quelle sofisticate basate su web, zero-day, attacchi evasivi command-and-control e dirottamenti DNS.

Infine, l’obiettivo comune di raggiungere la compliance a NIS2 promuoverà la collaborazione e la condivisione delle conoscenze tra aziende, stakeholder ed enti normativi. La collaborazione è parte integrante dell’innovazione e lo scambio di best practice, conoscenze e nuove tecnologie può portare a progressi significativi nel panorama della cybersecurity.

Creare nuove opportunità

Le aziende sono preoccupate di doversi conformare a questi requisiti, in particolare a causa dell’introduzione di sanzioni pecuniarie e responsabilità personale. Tuttavia, il potenziale di innovazione è innegabile. Il nuovo mercato creato da NIS2, unito all’enfasi posta su collaborazione e condivisione di conoscenze, aprirà la strada alla creatività nel settore della cybersecurity, destinata a trasformare il panorama di oggi.

Note


[1] “The outcome efficacy of the entity risk management requirements of the NIS 2 Directive”, https://link.springer.com/article/10.1365/s43439-023-00097-8

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4