Secondo Zscalerle aziende europee sono sicure di raggiungere la conformità alla direttiva NIS2 entro il 17 ottobre 2024, nonostante la conoscenza dei requisiti sia scarsa. Secondo il report di Zscaler NIS2 & Beyond: Risk, Reward & Regulation Readiness, l’80% dei responsabili IT (77% in Italia) è fiducioso che la propria azienda soddisferà i requisiti di conformità alla direttiva NIS2 prima della scadenza. Il 14% (13% in Italia) afferma di averli già soddisfatti.
Solo il 53% (48% in Italia) dei responsabili IT, tuttavia, ritiene che i propri team comprendano appieno i requisiti necessari per essere conformi alla direttiva. Ancora meno (49% sia in Europa che in Italia) ritiene che lo faccia la dirigenza aziendale. I CISO devono formare immediatamente tutti gli stakeholder interessati. Partendo dal livello del consiglio di amministrazione fino ai responsabili di sezioni e ai dipendenti dell’azienda, per garantire la conformità prima della data prevista.
La dirigenza aziendale deve agire al più presto
L’esame del divario tra fiducia e comprensione rivela una certa discrepanza tra il modo in cui i leader parlano della direttiva NIS2 e il modo in cui agiscono a riguardo. Gli intervistati indicano che i manager riconoscono la crescente importanza delle direttive NIS2. Con un terzo (32% in Europa, 37% in Italia) che afferma che si tratta di una priorità assoluta per la propria dirigenza. Il 52% (47% in Italia) che afferma che sta diventando una priorità maggiore. Tuttavia, ciò non sembra riflettersi nel supporto offerto ai team IT delle aziende che si assumono l’onere del processo di conformità. La maggior parte dei responsabili IT ritiene che i propri team non ricevano il supporto necessario da parte della dirigenza per rispettare la scadenza.
Piccoli miglioramenti o un’importante revisione delle strutture?
Sebbene la direttiva NIS2 si basi sul quadro NIS esistente, il 62% (71% in Italia) degli intervistati ritiene che si discosti in modo significativo da ciò che utilizzano attualmente. Per essere conformi, i leader IT devono apportare i cambiamenti più significativi nelle aree dello stack tecnologico e delle soluzioni di cybersecurity, della formazione dei dipendenti e della leadership. Alla domanda sulle aree aziendali più impegnative per la conformità alla direttiva, gli intervistati hanno indicato:
– la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi (31% in Europa, 35% in Italia),
– le pratiche di igiene informatica di base e la formazione in materia di cybersecurity (30% in Europa, 26% in Italia),
– le policy e le procedure per l’efficacia delle misure di gestione del rischio di cybersecurity (29% in Europa, 35% in Italia).
I settori più coinvolti
Mentre la direttiva NIS2 incorpora requisitidi sicurezza informatica fondamentali, la survey suggerisce che molte aziende in Europa non siano così avanti con i loro standard di sicurezza informatica come dovrebbero. Solo il 31% degli intervistati (23% in Italia) definirebbe il proprio livello di igiene informatica “eccellente”.
Analizzando la survey dal punto di vista dei settori coinvolti a livello europeo, quello dei trasporti e dell’energia hanno registrato un livello di eccellenza in tal senso molto più basso, invece, con solo il 14% dei responsabili IT del settore trasporti che ha dichiarato di aver raggiunto questo obiettivo e il 21% delle aziende del settore energetico. Questi dati suggeriscono che sono poche le aziende in alcuni settori delle infrastrutture critiche che si sono tenute al passo con le revisioni di sicurezza negli ultimi anni.
Direttiva NIS2: le aziende europee sono sicure di essere conformi entro ottobre
James Tucker, Head of CISO di Zscaler
Le normative da sole non saranno mai la risposta a un’igiene di primo livello in materia di cybersecurity. Soprattutto se si considera la portata della sfida della cybersecurity. Infatti, il 53% dei nostri intervistati (59% in Italia) dichiara che le norme NIS2 non sono sufficienti considerando la sfida che si trovano ad affrontare le aziende.
Piuttosto che un problema da risolvere, le normative dovrebbero quindi essere viste come un’opportunità per migliorare la sicurezza di base. Le normative devono diventare parte integrante delle revisioni dei processi in corso in azienda, invece di essere un’attività separata che i team IT devono affrontare. Le aziende dovrebbero sfruttare questa opportunità per rivedere l’entità dei loro stack tecnologici. Oltre a trovare il modo di semplificare e tracciare l’hardware e il software attraverso un’unica piattaforma per evitare la complessità nel loro ambiente aziendale.
Superare le sfide: il ruolo di Zscaler e Direttiva NIS2
La direttiva NIS2 sottolinea la responsabilità delle aziende nel garantire la sicurezza delle reti e dei sistemi informativi con una cultura di governance e una gestione completa dei rischi. Devono adottare misure tecniche, operative e organizzative proattive per gestire i rischi legati alla sicurezza delle reti e dei sistemi informativi. Zscaler offre funzionalità di sicurezza complete con la sua piattaforma di sicurezza cloud Zero Trust Exchange ottimizzata dall’intelligenza artificiale. Inoltre progettata per aiutare le aziende a ridurre al minimo la superficie di attacco e garantire l’efficacia dei controlli di sicurezza applicati nell’ambito del programma di governance e gestione del rischio dei clienti con l’aiuto di:
Zscaler Internet Access e Zscaler Private Access. Forniscono protezione dalle minacce, protezione dei dati e applicazione delle policy. Controllando i flussi di traffico e fornendo log di eventi e transazioni di sicurezza utilizzati per il monitoraggio e le indagini sulla sicurezza.
Riduzione della superficie di attacco. Zero Trust Exchange garantisce che gli utenti non siano inseriti nella rete e che le applicazioni non siano mai esposte a Internet. Riducendo in modo significativo la superficie di attacco. Inoltre, fornisce una policy di controllo degli accessi alle applicazioni interne.
Zscaler Risk360. Consente il monitoraggio continuo e il rilevamento delle vulnerabilità, permettendo alle aziende di gestire in modo proattivo i rischi per la sicurezza.
Aumentare il livello di cybersecurity
La direttiva NIS2 è un atto legislativo che mira ad aumentare il livello minimo di sicurezza informatica in tutta l’Unione Europea. Prevede inoltre di espandere la base di applicazione, includendo più settori merceologici e riducendo la dimensione delle aziende. Poi di armonizzare la condivisione delle comunicazioni e di far rispettare la conformità non solo imponendo multe, ma anche con potenziali problemi legali per i team di gestione.
Il roadshow Road to NIS2 è promosso dal distributore CIPS Informatica, vede il coinvolgimento delle aziende Road to NIS2 Netwrix, N-able e Sangfor e il patrocinio di Assintel.
