NIS2, tecnologie e processi per adeguarsi: rivedi il webinar di FPA e Veeam
Quali sono le principali novità introdotte dalla direttiva NIS2 e come possono le pubbliche amministrazioni adeguarsi efficacemente? Ne abbiamo parlato il 4 luglio nel webinar organizzato da FPA in collaborazione con Veeam. Durante l’evento, esperti del settore hanno approfondito le implicazioni della nuova normativa e presentato le migliori pratiche per garantire la conformità e la sicurezza
12 Luglio 2024
Redazione FPA
Si è svolto il 4 luglio ed è da subito disponibile gratuitamente on demand, il webinar “Come adeguarsi alla Direttiva NIS2, linee guida e check-list per le pubbliche amministrazioni“, organizzato da FPA in collaborazione con Veeam. Il webinar ha l’obiettivo di fornire alle pubbliche amministrazioni, grazie anche al supporto di case study reali, le informazioni cruciali e strategie pratiche per affrontare con successo le sfide della conformità alla direttiva NIS2. Al webinar, moderato da Eleonora Bove, Digital Content Strategist di FPA, partecipano Michele Onorato, partner di P4I nella practice di Security e Governance, che illustra i cambiamenti introdotti dalla NIS2 rispetto alla normativa precedente, evidenziando le implicazioni specifiche per le pubbliche amministrazioni, Luciano Ragazzi, CIO di Ente Autonomo Volturno che racconta l’esperienza dell’ente in questa fase di adeguamento e Alessio Di Benedetto, Technical Sales Director South Europe di Veeam, che cura l’approfondimento sulle tecnologie oggi disponibili e compliance con la normativa.
NIS2: cosa cambia per la PA
Michele Onorato (P4I) ha illustrato le principali differenze tra la NIS1 e la NIS2, sottolineando come la nuova direttiva estenda il perimetro di applicazione e introduca requisiti più stringenti. In particolare, la NIS2 mira a uniformare le misure di sicurezza tra gli Stati membri dell’Unione Europea, riducendo le discrepanze che caratterizzavano l’attuazione della NIS1.
Onorato ha spiegato che la NIS2 non solo amplia il numero di aziende coinvolte, includendo nuovi soggetti rilevanti, ma introduce anche nuovi obblighi per le pubbliche amministrazioni. Tra i requisiti principali, spiccano la gestione dei rischi, la continuità operativa, la gestione degli incidenti, la governance centralizzata della sicurezza e il rafforzamento della sicurezza della supply chain. La direttiva richiede che gli organi di gestione siano maggiormente responsabilizzati e che il personale riceva una formazione specifica in ambito cybersecurity. “La NIS2 cerca di uniformare le misure tra gli Stati membri e allargare il perimetro delle aziende coinvolte includendo anche soggetti importanti”, ha dichiarato Onorato.
Uno degli aspetti più critici della NIS2 riguarda la gestione degli incidenti, che prevede comunicazioni tempestive entro 24 ore. Inoltre, la continuità operativa deve essere garantita attraverso backup sicuri e la gestione delle crisi, con simulazioni per prepararsi a situazioni di emergenza. Le sanzioni per il mancato rispetto della normativa possono essere molto elevate, arrivando fino a 10 milioni di euro o ad un massimo del 2% del fatturato mondiale annuo per i soggetti essenziali, se tale importo è superiore, e fino a 7 milioni di euro o ad un massimo di almeno l’1,4% del fatturato mondiale annuo per i soggetti importanti, se tale importo è superiore.
L’esperienza dell’Ente Autonomo Volturno
Un interessante case study è stato presentato da Luciano Ragazzi, CIO di Ente Autonomo Volturno, una società di trasporto locale che gestisce autolinee, ferrovie e una funivia.
L’Ente Autonomo Volturno serve circa 50 milioni di passeggeri all’anno, coprendo 100 comuni con le autolinee e 82 con la ferrovia, con una rete ferroviaria di 300 km. Nel corso del suo intervento, Ragazzi ha sottolineato l’importanza di integrare il mondo IT con il mondo OT (Operational Technology) per garantire la continuità del servizio ferroviario.
Oggi, per essere compliance con la normativa, l’Ente Autonomo Volturno sta implementando una Business Impact Analysis (BIA) e sta conducendo un Risk Assessment.
La BIA permette di identificare i processi aziendali critici e valutare le conseguenze finanziarie, operative e reputazionali di un’interruzione del servizio. Per realizzare la BIA, l’Ente Autonomo Volturno ha creato un team dedicato, coinvolgendo tutte le direzioni aziendali. L’analisi dei rischi, invece, identifica le potenziali minacce ai servizi, valuta la probabilità che si verifichino attacchi, con quali impatti, e identifica i rischi assegnando diversi livelli di priorità. Ragazzi ha spiegato che “se non puoi misurare qualcosa, non puoi migliorarlo”, sottolineando l’importanza di un approccio basato su dati concreti e misurabili.
Un altro aspetto centrale dell’approccio dell’Ente Autonomo Volturno alla NIS2 è stato l’adozione di tecnologie avanzate per migliorare la resilienza aziendale. Tra queste, progetti SD-WAN per rendere resilienti le stazioni ferroviarie, sistemi di threat intelligence, autenticazione a due fattori e backup sicuro con la regola del 3-2-1. Inoltre, è stata implementata una control room IT per il monitoraggio continuo e l’analisi dei flussi di dati, con vulnerability assessment e penetration test costanti.
Le soluzioni tecnologiche di Veeam
Alessio Di Benedetto, Technical Sales Director South Europe di Veeam, ha presentato le soluzioni di data protection offerte dall’azienda per supportare le pubbliche amministrazioni nell’adeguamento alla NIS2. Veeam adotta un approccio di sicurezza basato sulla metodologia NIST, che prevede cinque fasi: identificazione, protezione, rilevazione, risposta e recupero. Tra le tecnologie specifiche presentate, spiccano la malware detection, l’autorizzazione a quattro occhi e l’immutabilità dello storage per prevenire attacchi ransomware. “Offriamo soluzioni per proteggere tutti i workload dal datacenter al cloud”, ha affermato Di Benedetto.
Veeam propone un modello di Cyber Resiliency che include SureBackup, Safe Restore e Instant Recovery per assicurare che i backup siano sempre disponibili e puliti. L’integrazione con sistemi SIEM consente un monitoraggio continuo e una risposta efficace alle minacce. Questo approccio permette di minimizzare gli impatti degli attacchi e garantire la sicurezza dei dati, migliorando la resilienza aziendale.