I crescenti rischi legati alla Cybersecurity hanno portato le istituzioni a rafforzare le normative in materia al fine di attivare le aziende sul tema, tra cui la direttiva NIS2 (Network and Information Systems Directive 2), entrata in vigore il 16 gennaio 2023. Sono pertanto stati inseriti numerosi strumenti per sensibilizzare e responsabilizzare tutte le organizzazioni europee in tema di sicurezza informatica e spingerle ad azioni concrete per la prevenzione, il rafforzamento e la protezione dai diversi tipi di attacchi.
Requisiti della NIS2 e sfide per le organizzazioni
Simile al GDPR in ambito privacy, la NIS2 impone alle aziende la gestione del tema della sicurezza informatica. Pur dando alcune indicazioni di massima ed esemplificative, non fornisce indicazioni tecniche di dettaglio riguardo alle azioni da compiere, ma impone processi per l’analisi dei rischi di sicurezza e per l’implementazione di misure di mitigazione e prevenzione. La compliance consiste nella capacità di analizzare i rischi, adottare misure di sicurezza proporzionate e nella capacità di gestire eventuali incidenti.
Ambito di applicazione della NIS2
La NIS2 ha un’applicazione molto vasta. Ne fanno innanzitutto parte in modo obbligatorio e stringente le organizzazioni che operano nei settori definiti “critici”, come: Banca e Finanza, Sanità, Trasporti, fornitura e produzione di Energia, i gestori di Infrastrutture Digitali e i provider di servizi ICT B2B (es. Data Center, Cloud, …), le PA centrali e quelle locali ad alto impatto economico o sociale, i fornitori di Utilities e i gestori delle relative Reti di Distribuzione, compresa, ad esempio, quella dell’Acqua. Ne saranno coinvolti, in seconda battuta, anche altri settori.
Le prime azioni preparatorie dovranno essere svolte entro quest’anno, seguirà con il 2026 la parte attuativa. Dal 1° gennaio 2026 i soggetti coinvolti dovranno essere in condizione di adempire agli obblighi di notifica degli incidenti di sicurezza, mentre entro ottobre 2026 gli stessi dovranno adempire in particolare anche agli obblighi in materia di gestione dei rischi e implementazione delle misure di sicurezza.
Strategie per rafforzare la sicurezza informatica
Parlando di mitigazione dei rischi, alcune delle azioni che le organizzazioni possono mettere in campo per rafforzare la sicurezza sotto ogni prospettiva vanno dalla protezione delle reti (es. firewall) a quella delle postazioni di lavoro (es. antivirus), dal controllo degli accessi (es. gestione identità IAM, autenticazioni MFA, …) a quello delle comunicazioni (es. VPN, adozione ultimi standard TLS, ecc.), senza trascurare i processi (es. capacità e strumenti per gestire una manutenzione continua e la resilienza in caso di attacchi) e la componente umana (formazione al mantenimento della sicurezza, processi e attività a favore della prevenzione di comportamenti rischiosi, anche involontari, da parte degli utenti finali).
Il modello EUC: una soluzione efficace per la conformità alla NIS2
Il modello End User Computing (EUC) consente una gestione centralizzata delle risorse IT aziendali, migliorando la sicurezza. Permette di monitorare le attività degli utenti su tutti i dispositivi e di applicare misure di sicurezza uniformi su tutte le postazioni. Questo approccio facilita anche la tracciatura degli accessi e delle attività, elemento indispensabile per la compliance alla NIS2 nell’eventualità di incidenti ai quali l’organizzazione deve saper rispondere individuando l’origine della problematica.
Infrastrutture VDI: centralizzazione e controllo per una maggiore sicurezza
Le infrastrutture VDI centralizzano la gestione dei desktop e delle applicazioni, riducendo il rischio di errori nella gestione e configurazione dei singoli dispositivi, aumentando, quindi, la sicurezza. La centralizzazione consente di applicare politiche di sicurezza in modo uniforme, effettuare manutenzione e aggiornamenti in modo continuo, prevenendo problematiche di sicurezza e migliorando la protezione dei dati. Consente, inoltre, di standardizzare l’autenticazione degli accessi, indipendentemente dal dispositivo o dalla posizione. Inoltre, le soluzioni VDI Cloud-based sono scalabili e resilienti, ideali per rispondere alle esigenze introdotte dalla NIS2.
Thin Client: sicurezza per l’accesso alle risorse aziendali
I Thin Client sono dispositivi minimali che accedono a risorse centralizzate senza memorizzare dati localmente, riducendo la superficie di attacco e il rischio di compromissione dei dati sensibili. Sono facili da gestire, configurare e aggiornare, rendendo più efficienti le operazioni di mantenimento della sicurezza e sono ideali per l’accesso sicuro alle risorse in Cloud.
Soluzioni per essere compliant
L’adozione di Thin Client, combinata con infrastrutture VDI e Cloud, offre, dunque, una strategia efficace per migliorare la sicurezza informatica e ridurre i rischi legati agli attacchi. Soluzioni come quelle proposte da Praim rispondono ai requisiti della NIS2, garantendo efficienza e resilienza operativa.
