Risponde Nicholas Jackson, Director of Cybersecurity Services, Bitdefender
Autore: Redazione SecurityOpenLab
Con l’entrata in vigore formale della direttiva NIS2, le aziende italiane si trovano a livelli di maturità molto differenti. Le grandi imprese che operano in settori regolamentati, come quello dei servizi finanziari, dell’energia e delle telecomunicazioni, hanno in genere compiuto progressi nell’allineamento delle strutture di governance e nella formalizzazione dei processi di gestione del rischio cyber. Per molte realtà di medie dimensioni e per le aziende che rientrano solo ora nel perimetro della normativa, la direttiva NIS2 rappresenta invece un cambiamento significativo in termini di responsabilità e requisiti operativi.
Il cambiamento più evidente riguarda la governance. La direttiva NIS2 attribuisce in modo esplicito al top management la responsabilità del rischio cyber. Sebbene molte aziende dispongano già di team dedicati alla sicurezza, sono ancora poche quelle che hanno integrato il rischio informatico nei processi decisionali a livello di consiglio di amministrazione, con linee di reporting chiare, indicatori di rischio misurabili e soglie di tolleranza definite.
Nella pratica, osserviamo spesso che le policy vengono aggiornate solo sulla carta, ma mancano prove concrete di una supervisione continuativa, di un confronto critico e di decisioni di investimento guidate da una valutazione quantitativa del rischio.
La sfida nella gestione del rischio è superare l'approccio orientato alla sola compliance per arrivare a comprendere concretamente l'impatto operativo dell'esposizione. Molte aziende sono in grado di dimostrare l’allineamento a framework come ISO 27001 o NIST CSF, ma faticano a rispondere a domande fondamentali: quali risorse sono davvero critiche? Dove si trovano i singoli punti di vulnerabilità? Quanto rapidamente siamo in grado di rilevare e contenere un incidente? La direttiva NIS2 impone requisiti più severi in materia di segnalazione degli incidenti, resilienza e continuità operativa, ma il livello di maturità resta disomogeneo in diverse aree, tra cui detection engineering, test basati sulle minacce e gestione delle crisi.
La protezione della supply chain è probabilmente il problema più urgente e complesso, una priorità costante ormai da oltre un decennio. Le aziende italiane, in particolare nei settori manifatturiero e delle infrastrutture critiche, operano all’interno di ecosistemi altamente interconnessi. La direttiva NIS2 richiede alle realtà interessate di valutare e gestire i rischi legati ai fornitori in modo strutturato. Tuttavia, molte continuano a fare affidamento su questionari statici e clausole contrattuali, invece di avere una visibilità continua sul livello di sicurezza dei propri fornitori. La realtà è che i criminali informatici sfruttano sempre più l’anello più debole della catena. Senza monitoraggio dinamico, segmentazione e controlli rigorosi durante l’onboarding e l’offboarding dei fornitori, l’esposizione della supply chain resta un punto cieco significativo.
La sfida più diffusa, quindi, non è la consapevolezza… ma l’operatività. Le aziende comprendono la direttiva, ma integrarla nella governance quotidiana, nella gestione del rischio misurabile e nel controllo dei fornitori richiede un cambiamento culturale, investimenti e coordinamento trasversale tra IT, sicurezza, ufficio legale, procurement e top management.
Bitdefender collabora con le aziende per aiutarle a non fermarsi al solo rispetto delle norme, ma a costruire una resilienza che possa essere provata e misurata.
Il primo passo è creare chiarezza. Attraverso valutazioni strutturate della maturità cyber e dei rischi, allineate ai requisiti della direttiva NIS2 e ai framework riconosciuti, aiutiamo i clienti a identificare le lacune non solo nella documentazione, ma nelle reali capacità operative. Ciò include la valutazione dell’efficacia dei processi di rilevamento e risposta, della reportistica di governance e del livello di preparazione nella gestione delle crisi, e non la semplice dell’esistenza di una policy.
Successivamente, aiutiamo poi a definire un piano di miglioramento concreto, le cui priorità siano definite in base all’impatto del rischio piuttosto che al “completamento formale” dei requisiti. Questo spesso include una serie di servizi, tra cui il rafforzamento della reportisticaper il management attraverso l’uso di metriche chiare, l’implementazione di un monitoraggio continuo delle minacce, l’esecuzione di esercitazioni di simulazione degli attacchi e il miglioramento delle pratiche di risposta agli incidenti per rispettare i tempi di segnalazione previsti dalla direttiva NIS2.
Per quanto riguarda la supply chain, promuoviamo un approccio a più livelli basato sul rischio. Non tutti i fornitori presentano lo stesso livello di rischio: per questo aiutiamo le aziende a classificare i fornitori critici, definire requisiti di garanzia proporzionati e implementare meccanismi di monitoraggio continuo. Ciò può includere la validazione tecnica della sicurezza, strategie di segmentazione, controlli per accessi remoti sicuri e cicli periodici di rivalutazione. L’obiettivo è creare visibilità e responsabilità per l’azienda estesa, e non limitarsi a una rassicurazione contrattuale.
È importante sottolineare che integriamo funzionalità proattive sia offensive sia difensive. La gestione continua del rischio richiede di comprendere come un criminale informatico potrebbe sfruttare le vulnerabilità, sia nei sistemi interni sia nelle connessioni con i fornitori. Combinando test di sicurezza offensivi proattivi con servizi di consulenza e capacità di rilevamento e risposta gestiti, le aziende ottengono una visione misurabile della loro esposizione e dell’efficacia delle risposte nel tempo.
In definitiva, la direttiva NIS2 non va vista come un onere normativo, ma come un catalizzatore per una maggiore resilienza cyber, alla stessa stregua del regolamento DORA e di altre normative o framework. La vera conformità non è statica: si realizza quando la governance è attiva, il rischio è quantificato e monitorato, e i rapporti con la supply chain sono gestiti come un’estensione del perimetro di sicurezza dell’azienda stessa.