In occasione del Security Summit organizzato dal Clusit, SecurityOpenLab ha avuto l'opportunità di intervistare Denis Valter Cassinerio, Senior Director & General Manager South EMEA di Acronis per fare il punto sulla NIS2 e sull'impatto che questa normativa avrà sulle aziende e sui provider di servizi gestiti (MSP). "Da un punto di vista industriale, per noi è un momento estremamente importante – spiega Cassinerio. Attraverso gli MSP, eroghiamo molti servizi legati alla mappatura dei criteri NIS2: un argomento molto ampio che coinvolge tutti i paesi europei e riguardo al quale l’Italia è tra le nazioni più virtuose, dato che fin da subito ha implementato un quadro giuridico pertinente alla direttiva".

I passi che stanno portando all’adeguamento normativo sono sostanziali, perché sebbene il cambiamento non sia ancora percepito a livello operativo, secondo Cassinerio lo sarà molto presto alla luce del fatto che la NIS2 introduce il parametro fondamentale della cogenza normativa, ossia di nuovi obblighi per le aziende. Quello che la NIS2 impone è fondamentalmente l'ottenimento della resilienza cyber, agendo su molteplici aree di governance che erano escluse da qualsiasi quadro giuridico antecedente. Cassinerio sottolinea che la NIS2 “impone tematiche di conoscenza cyber, per esempio il security awareness training, piuttosto che alcuni elementi forti come la gestione degli incidenti e l'apprendimento dagli attacchi subìti”. In altri termini, è richiesto che l'azienda vittima di un incidente cyber riporti l’accaduto nel modo corretto, ad esempio la ACN ha suggerito la tassonomia da utilizzare, e “al di là della gestione dell'incidente - che è importante – deve anche implementare normativamente e in maniera cogente il concetto della lezione appresa dall'attacco cyber".

Nel suo intervento al Security Summit, Cassinerio ha evidenziato in questo contesto il ruolo critico dell'IT manager e del security manager, e insieme ad esso alcuni dei motivi per i quali è di fondamentale importanza l’azione di supporto da parte dei vendor, tramite i propri partner e MSP: "questi manager devono gestire una complessità normativa fortissima, con responsabilità ben identificate, e devono agire per ottimizzare i servizi e al tempo stesso per implementare aree nevralgiche come il Disaster Recovery - che è richiesto dalla normativa come elemento fondamentale per tenere in funzione le infrastrutture a seguito di un attacco cyber". A molti non è ancora chiaro quali sono le richieste operative della NIS2 e che cosa occorra per implementarla. Questo è un primo problema.

Denis Valter Cassinerio, Senior Director & General Manager South EMEA di AcronisIl secondo problema riguarda gli investimenti: l'adozione della NIS2 comporta sfide economiche per molte aziende, ma non necessariamente investimenti inaccessibili: "abbiamo per anni lavorato su una ingestione bulimica di contenuti cyber. Oggi è importante aiutare le imprese a capire che possono spendere meglio”, diventando più resilienti e competitive nel quadro europeo. Come? "Qualsiasi cosa facciamo, dal prossimo anno si cambia il modo di fare cyber. Molto è stato focalizzato sul concetto culturale; quello di cui necessita oggi il mercato è focalizzare l'attenzione su alcuni elementi, come la platformization". A tale riguardo Cassinerio ricorda che Acronis ha sviluppato una piattaforma per supportare gli MSP nella conformità alla NIS2: "noi abbiamo creato una piattaforma per aiutare il service provider, che diventa una parte fondamentale della supply chain, ad erogare non solo la tecnologia ma anche il training, l'education e tutto quello che serve per rafforzare la propria posizione".

Le responsabilità

Uno dei principali cambiamenti introdotti dalla NIS2 riguarda il concetto di responsabilità diretta dei vertici aziendali, che sarà cruciale per il futuro della sicurezza informatica delle aziende. Cassinerio sottolinea infatti che “una delle innovazioni più rilevanti della NIS2 è che qualsiasi forma di delega non solleva il consiglio di amministrazione dalle responsabilità cyber. Si tratta di un passaggio normativo inedito: in passato altre normative, come il GDPR, introducevano ruoli specifici con responsabilità parziali, mentre la NIS2 pone il consiglio di amministrazione al centro delle responsabilità per la sicurezza informatica. Questo obbliga a condividere le scelte di cybersecurity con il consiglio di amministrazione, che “ad oggi non è assolutamente pronto a un ruolo del genere", tanto che capita spesso agli esperti di Acronis di raccogliere le testimonianze di figure tecniche frustrate per la mancanza di ascolto da parte del top management.

In questa fase di transizione (l’applicazione della normativa è graduale e i primi report dovranno prendere corso a gennaio 2026) Cassinerio reputa che “un ruolo fondamentale sarà svolto dai consulenti in ambito compliance e legali, che stanno lavorando per comprendere e applicare la normativa”, anche perché i tempi stringono: un elemento cardine della NIS2 è la definizione di un piano interno di sicurezza approvato e, in futuro, si auspica, anche certificato. Certificazione che, oltre a soddisfare la normativa, darà un vantaggio competitivo alle imprese rispetto al mercato Europeo, perché ricordiamo che l'obiettivo del legislatore europeo, con la stesura della NIS2, è garantire un'applicazione uniforme della normativa in tutti i paesi membri, per fare in modo che "la cyber sia interpretata nello stesso modo in tutti i paesi dell’Unione Europea, un cambiamento epocale rispetto ad oggi" sottolinea Cassinerio.

Data la delicatezza del tema, Acronis invita a non percepire questo cambiamento come una preoccupazione, ma come un'opportunità per rafforzare la sostenibilità delle infrastrutture digitali.

Importanza e obblighi per gli MSP

Abbiamo fatto riferimento più volte all’importanza degli MSP. Il motivo è noto: in un territorio frammentato come l'Italia, è mandatorio abilitare gli MSP alla cybersecurity. Negli ultimi anni abbiamo assistito a un modello di trasformazione per il quale i servizi di sicurezza si sono moltiplicati, come confermano alcuni dati di mercato. Cassinerio cita quelli Assinform di inizio anno, che mostrano come la crescita dei servizi in ambito cyber sia maggiore rispetto alla crescita della componente di controllo delle tecnologie.

La situazione è ulteriormente complicata dalla crescente complessità del panorama regolamentato, in cui il primo anello debole è la mancanza di competenze della risposta agli attacchi. In questo contesto, sottolinea Cassinerio, sono "gli MSP che sopperiscono, rivestendo il ruolo fondamentale di mantenere in essere il tessuto produttivo delle imprese più deboli sotto l’aspetto cyber". È questo il motivo per il quale la strategia di Acronis si fonda sull’abilitazione di MSP e MSSP alla riduzione della complessità e alla migliore sicurezza.

Proprio per la loro importanza, la NIS2 indica esplicitamente che gli MSP si devono autodenunciare in caso di attacchi e gli ISV devono implementare pratiche di sviluppo software sicuro. Gli MSP sono anche chiamati in causa nell’ambito degli attacchi alla supply chain, dato che le attività contro i provider di servizi gestiti stanno diventando sempre più frequenti, come evidenziato nel più recente report di Acronis.

Cassinerio evidenzia in questo frangente “l'utilizzo di tool per la remotizzazione dei servizi che presentano vulnerabilità e sono aggredibili" e trae una conclusione piuttosto semplice: è necessario “ridurre l'uso di strumenti insicuri, identificando invece poche soluzioni che garantiscano una connettività sicura e non aggredibile", come per esempio l'utilizzo di protocolli sicuri di connessione, e di implementazioni come l'immutabilità sulla componente di backup, che rafforza la sicurezza e riduce la vulnerabilità agli attacchi. Non solo: alcune misure di sicurezza, come l’adozione dell’autenticazione a più fattori, dovranno essere imposte ai clienti per legge.

Tali provvedimenti, è bene ricordarlo, non avranno l’effetto di eliminare completamente gli attacchi alla supply chain, perché oggi qualsiasi approccio alla security passa per l'accettazione di uno stato di insicurezza cyber: non è in discussione il 'se' si verificherà un attacco, ma il 'quando'. A questo riguardo, infatti, Cassinerio sottolinea che "la NIS2 non dice che dobbiamo diventare inattaccabili, ma di adottare pratiche di buon senso per ottenere un mercato unico europeo all’interno del quale ci sia fiducia digitale".