Come orientarsi con la conformità alla NIS2? La Project Manager di NIS2Lab, Lavinia De Caro, spiega le linee guida ENISA.
NIS2, da obbligo a opportunità: la guida per il tuo business
La Direttiva NIS2 sta alzando l’asticella della cybersecurity in Europa. Per te rivenditore è il momento di trasformare un obbligo normativo in un vantaggio competitivo. Per supportarti, abbiamo intervistato Lavinia De Caro, Project Manager di NIS2Lab, che ci ha guidato nell’analisi delle linee guida ENISA. Insieme a lei, abbiamo analizzato le linee guida NIS2 dell’ENISA, l’Agenzia Europea per la Cybersecurity, per fornirti una bussola che ti aiuti a capire non solo cosa fare, ma anche come e perché queste indicazioni sono la chiave per proteggere i tuoi clienti e far crescere il tuo business.
Per approfondire > La NIS2 è arrivata: NIS2lab è la novità in casa s-mart
Intervista audio a Lavinia De Caro, Project Manager di NIS2Lab
Testo dell’intervista
Intervistatore: bentrovati. Oggi ci addentriamo in un documento tecnico… ma davvero fondamentale: le linee guida dell’ENISA, l’Agenzia Europea per la cybersecurity.
Lavinia, come Project Manager di NIS2Lab, potresti spiegarci l’importanza di queste linee guida… e qual è il loro obiettivo principale?
Lavinia De Caro: certo, Alessandro. Queste linee guida sono una guida non vincolante… versione 1.0, che supporta il Regolamento di esecuzione dell’Unione Europea 2690 del 2024. Il loro scopo è estrarre il succo, per così dire, di ciò che la Direttiva NIS2 richiede alle organizzazioni per rafforzare le loro difese digitali.
Si tratta di capire non solo cosa si deve fare… ma anche il perché. E come queste indicazioni si legano ad altri standard che le aziende magari già utilizzano.
Intervistatore: molto chiaro. E a chi si rivolgono esattamente queste linee guida? Perché… leggo un elenco bello lungo.
Lavinia De Caro: la portata è decisamente vasta. Si rivolgono a un’ampia gamma di entità:
- fornitori DNS, registri TLD, servizi cloud, data center, reti CDN,
- servizi gestiti…
- ma anche marketplace online, motori di ricerca e persino i social network.
Questo riflette proprio l’ecosistema digitale interconnesso che la NIS2 punta a proteggere.
Intervistatore: capisco. È un sacco di gente diversa! La guida affronta ben 13 aree chiave, tecniche e metodologiche. Puoi darci un’idea delle aree più importanti?
Lavinia De Caro: assolutamente. Le linee guida coprono tredici aree che vanno: dalle politiche generali di sicurezza, alla gestione del rischio, alla gestione degli incidenti, alla continuità operativa… C’è anche un focus significativo sulla sicurezza della catena di approvvigionamento, che è sempre un tema caldo.
Si parla anche di crittografia e di ciò che chiamano “igiene informatica di base”. L’obiettivo è fornire un quadro completo.
Intervistatore: dunque, come è strutturata? Mi pare di capire che le linee guida in sé non sono vincolanti, giusto? Offrono però degli esempi pratici.
Lavinia De Caro: esatto. Le linee guida sono raccomandazioni non legalmente vincolanti ma offrono esempi e suggerimenti pratici. Inoltre, c’è una mappatura verso standard riconosciuti come ISO27001 e il NIST Cybersecurity Framework 2.0. È fondamentale capire che questa mappatura non significa che una certificazione ISO ti renda automaticamente conforme con ENISA e NIS2. Serve piuttosto a capire le sovrapposizioni e come integrare i requisiti NIS2 nei sistemi di gestione che un’organizzazione potrebbe già utilizzare.
Intervistatore: ottima precisazione. Ho letto anche che la guida chiede esplicitamente almeno sei politiche documentate e specifiche per argomento. Quali sono?
Lavinia De Caro: sì, queste sono viste come il cuore pulsante della gestione della sicurezza. Le sei politiche specifiche richieste sono:
- gestione del rischio;
- gestione degli incidenti;
- sicurezza della catena di approvvigionamento;
- test di sicurezza;
- valutazione dell’efficacia delle misure;
- crittografia.
Intervistatore: beh, sono temi centrali in effetti. Vediamone qualcuna più da vicino. Partiamo dalla Gestione del rischio. Cosa chiede l’ENISA in pratica?
Lavinia De Caro: per la gestione del rischio, l’ENISA chiede un approccio strutturato. Non basta solo dire che si gestiscono i rischi. È necessaria una metodologia definita. Bisogna stabilire la propria tolleranza al rischio ad esempio, il tempo massimo di fermo servizio sopportabile. E serve un piano di trattamento del rischio, che sia approvato dal management.
Tutto questo va rivisto almeno una volta all’anno perché le minacce sono in continua evoluzione.
Intervistatore: certo, ha senso. E questo si lega, immagino, alla Gestione degli incidenti quando le cose vanno male.
Lavinia De Caro: esattamente. Anche lì serve una politica chiara allineata con la continuità operativa. Sono fondamentali:
- un sistema per classificare gli incidenti per gravità;
- piani di comunicazione pronti, sia interna che esterna;
- e soprattutto, monitoraggio e logging:
- la registrazione degli eventi, idealmente automatizzata,
- con log protetti (non modificabili)
- e con data e ora sincronizzate. La sincronizzazione dell’ora è fondamentale per le indagini.
Non meno importante è fare delle revisioni dopo ogni incidente per imparare dagli errori.
Intervistatore: parliamo ora di un punto delicato: la sicurezza della catena di approvvigionamento. Cosa dice ENISA, dato che è un aspetto complesso per molte aziende?
Lavinia De Caro: qui la guida spinge molto sui criteri di selezione dei fornitori. Non basta guardare il prezzo…bisogna valutare la loro sicurezza. I contratti devono includere requisiti specifici di sicurezza, anche per i subappaltatori. Sappiamo che può essere complicato metterlo in pratica con catene lunghe. Per quanto riguarda il software libero, o FOS, l’approccio è pragmatico: non imporre obblighi che vadano oltre la loro licenza, ma è obbligatoria una valutazione dei rischi quando si usa quel software. In più, viene richiesto un registro dei fornitori diretti.
Intervistatore: per rendere il concetto ancora più concreto, hai un esempio pratico di come un’azienda si è trovata ad affrontare queste sfide?
Lavinia De Caro: sì, pensa a un’azienda di abbigliamento tecnico-sportivo, con e-commerce e una rete di negozi fisici. Dopo l’entrata in vigore della NIS2, hanno dovuto mappare tutti i loro fornitori digitali: non solo partner IT, ma anche logistica e sistemi di pagamento nei punti vendita.
Intervistatore: quindi… ogni anello della catena è stato valutato in termini di rischio?
Lavinia De Caro: esattamente. Hanno aggiornato i contratti con clausole precise di cybersecurity: audit periodici, notifiche tempestive di incidenti e hanno attivato un monitoraggio continuo sui dati logistici e finanziari. Non si sono limitati all’obbligo normativo: hanno creato un ecosistema di sicurezza condiviso con i loro fornitori.
Intervistatore: e questo approccio proattivo…immagino che si sia trasformato in un vantaggio competitivo.
Lavinia De Caro: proprio così. Essere percepiti come un partner affidabile e sicuro ha aperto loro nuove opportunità con clienti internazionali.
Intervistatore: molto chiaro. Ultimo punto che volevamo toccare: igiene informatica di base e formazione. Sembra banale, ma forse proprio per questo è cruciale.
Lavinia De Caro: assolutamente! È il punto 8. La guida chiede programmi di sensibilizzazione obbligatori per tutti: dal personale operativo ai dirigenti. Questi programmi devono coprire temi classici: la gestione delle password, il riconoscimento del phishing, l’uso sicuro dei dispositivi personali e aziendali. Ma non solo. Sottolinea anche la necessità di formazione specifica e regolare per chi ha ruoli tecnici legati alla sicurezza. La cybersecurity deve diventare una cultura diffusa…non è più solo un’attività dell’IT.
Intervistatore: ok, quindi se dovessimo tirare le somme di queste linee guida ENISA…qual è il messaggio principale?
Lavinia De Caro: direi che offrono una bussola…una guida dettagliata e pratica per orientarsi con la NIS2. C’è flessibilità sul come raggiungere gli obiettivi, ma l’accento è molto forte sulla proattività: gestire il rischio prima che diventi un problema, essere pronti a rispondere agli incidenti, pensare alla sicurezza lungo tutta la filiera, fornitori inclusi, e creare consapevolezza a tutti i livelli. Il messaggio chiave mi sembra sia: serve un approccio olistico. La cybersecurity deve essere integrata ovunque nell’organizzazione…non è solo una questione tecnica.
Intervistatore: esattamente. E magari, come spunto finale…al di là della conformità, come si può trasformare l’adozione di queste linee guida da semplice obbligo a un’opportunità?
Lavinia De Caro: ottima domanda! L’adozione di queste linee guida può essere l’occasione per costruire maggiore fiducia con clienti e partner…e per innovare in modo più sicuro nel mercato digitale di oggi.
Intervistatore: Lavinia, grazie per questa panoramica esaustiva.
Lavinia De Caro: grazie a te per l’invito, Alessandro.
Consulta qui la versione integrale delle Linee Guida dell’Enisa
Vuoi saperne di più?
