Comprendere la normativa NIS2, le novità e gli obblighi che comporta e le sfide che attendono le imprese italiane.
Autore: Redazione SecurityOpenLab
Il settore della cybersecurity in Italia continua a registrare una crescita significativa, sostenuta principalmente dai nuovi processi di digitalizzazione avviati dalle imprese, dall’utilizzo di applicazioni cloud e dalle nuove normative. Secondo l’ultimo Rapporto Clusit, il nostro Paese è sempre più nel mirino del cybercrime, trend confermato dall’incremento degli attacchi gravi pari al 65% nel 2023 rispetto all’anno precedente che ha portato il totale degli incidenti gravi analizzati a quota 2.779. Anche gli MSSP continuano ad attirare l’interesse delle aziende ma anche degli aggressori. In Italia, secondo l’Acronis Cyberthreats Report H1 2024, il 6% degli attacchi (6 su 98) in un periodo di 8 mesi ha preso di mira gli MSP e società di consulenza IT. Un’evidenza che richiede anche ai security provider di sfruttare al massimo le nuove tecnologie per rilevare in modo proattivo le minacce, prevenirle e rispondere rapidamente.
Per contenere il problema, il governo italiano ha definito una serie di interventi legislativi, tra cui il Perimetro Nazionale di Cybersecurity, un insieme di norme volte a proteggere le infrastrutture critiche del Paese, e, a breve, il recepimento della Direttiva NIS2, promossa dalla Commissione Europea con l'obiettivo di rafforzare la sicurezza informatica in tutta la CE. La prima Direttiva NIS (Reti e Sistemi Informativi) è entrata in vigore nel maggio 2018 con l’obiettivo di raggiungere lo stesso livello di sicurezza delle reti e dei sistemi informativi in tutta l’UE. La Direttiva NIS2, invece, è stata presentata il 17 gennaio 2023 e dovrà essere recepita dai singoli Stati membri entro il 17 ottobre 2024, per rafforzare ulteriormente le misure di sicurezza, contare su standard più elevati per la protezione di reti e sistemi informativi essenziali, ampliando il raggio d’azione a nuovi settori.
NIS2 aumenta il livello di protezione, estende l’ambito di applicazione e introduce norme, deadline e sanzioni condivise fra tutti gli Stati membri. L’obiettivo è colmare le lacune della precedente direttiva, adattando le procedure e i controlli alle esigenze attuali e rendendoli, per quanto possibile, pronti per il futuro. Inoltre, amplia il campo di applicazione includendo nuovi contesti in base al loro grado di digitalizzazione e importanza per le attività economiche e sociali. In particolare, la direttiva copre tutte le organizzazioni che forniscono servizi identificati come essenziali o importanti per l'economia europea, come le aziende che operano nei settori dell'energia, dei trasporti, di banche e servizi del mercato finanziario, della sanità, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali. Le misure includono il controllo degli accessi e l’applicazione di privilegi minimi, una solida autenticazione a più fattori e misure per scoraggiare, rilevare o prevenire minacce pericolose, come il ransomware.
La direttiva impone alle aziende di implementare una serie di misure di sicurezza informatica, oltre che tempi (e sanzioni) altrettanto precisi, tra cui:
Il rispetto della NIS2 comporterà ulteriori sfide per le imprese poiché la direttiva non è limitata solo alle grandi società. Anche le aziende di medie dimensioni sono soggette alle nuove regole, ampliando significativamente l’ambito di conformità. Sono inoltre previste dettagliate disposizioni circa l’implementazione delle tecnologie di cybersecurity necessarie, la formazione del personale e l’allineamento agli standard normativi con un aumento inevitabile dell’impegno e dei costi operativi. Va inoltre considerato che l’Italia, come altri paesi, ha registrato un aumento di attacchi alla supply chain. Ciò è particolarmente preoccupante per i fornitori di servizi gestiti (MSP) e le società di consulenza che spesso in Italia fungono da intermediari e hanno accesso a più reti di clienti.
In termini generali, il report sulle minacce ransomware rilevate in Italia mostra tendenze e statistiche che impongono miglioramenti nelle misure di sicurezza informatica e confermano la vulnerabilità tuttora elevata di vari settori. Nei primi cinque mesi del 2024, l’Italia ha registrato 56 attacchi ransomware, in diminuzione rispetto agli 86 dello stesso periodo del 2023. Una tendenza positiva, legata a una riduzione delle debolezze sfruttabili o migliori processi di sicurezza, tuttavia, il numero di attacchi rimane significativo, il che indica che il ransomware è ancora una minaccia persistente. Ad oggi l’Italia è al quinto posto a livello mondiale per numero di attacchi denunciati nel 2024.
Nei primi cinque mesi del 2024 i gruppi 8base e LockBit 3 sono stati i più attivi in Italia. Il gruppo 8base ha rappresentato il 21% del totale degli attacchi ransomware, mentre LockBit 3 il 18,3%. Entrambi i gruppi utilizzano spesso e-mail di phishing per fornire allegati o collegamenti dannosi. Queste e-mail spesso sembrano legittime e inducono i destinatari ad aprirle e a installare inavvertitamente malware. L'altro vettore iniziale è lo sfruttamento delle vulnerabilità note nei software e nei sistemi, in particolare quelli a cui non sono state applicate le patch. Un’altra modalità sfruttata dagli aggressori è l’utilizzo di credenziali rubate o deboli per ottenere l’accesso alle reti ed entrambi i gruppi sfruttano connessioni RDP deboli o protette in modo improprio per tale fine.
I dati di telemetria Acronis da gennaio 2024 a maggio 2024 mostrano una lieve diminuzione dei rilevamenti di malware, sebbene rimangano una preoccupazione significativa. Anche i rilevamenti degli URL, pur fluttuando, hanno avuto una tendenza simile ovvero al ribasso.
Tuttavia, pur assistendo ad alcuni trend in decremento, non possiamo tuttavia sottovalutare che l’Italia rimane fra gli obiettivi prioritari degli hacker. Inoltre, se da una parte l’uso dell’intelligenza artificiale e del machine learning permette di identificare e mitigare le minacce in modo più efficace, dall’altra questa stessa tecnologia consente ai criminali informatici di sviluppare attacchi sempre più sofisticati, più velocemente e su più vasta scala. Come evidenziato, nei primi otto mesi del 2024, sei dei 98 attacchi ransomware in Italia hanno preso di mira specificamente MSP e società di consulenza IT. Ciò conferma che le minacce cyber continuano a essere reali imponendo misure di sicurezza anche all’interno della catena di approvvigionamento.
In questa direzione, il recepimento della direttiva NIS 2 rappresenta una sfida per le imprese e gli enti italiani, ma è anche un importante stimolo per avviare o potenziare un percorso di innalzamento dei livelli di sicurezza informatica indispensabile per lo sviluppo non solo digitale del nostro Paese.
Denis Valter Cassinerio è General Manager South Europe, Balkans & Turkey EMEA di Acronis