Quando si parla di sicurezza informatica, le potenti minacce emergenti all'orizzonte inducono le autorità di regolamentazione a essere più proattive che mai. Per le organizzazioni, questo significa un costante riorientamento verso nuovi quadri di conformità, obblighi e rischi.

In prima linea in questo processo normativo c'è la direttiva ampliata dell'Unione Europea su reti e sistemi informativi, altrimenti nota come NIS2, una normativa incentrata sulla sicurezza informatica e sulla gestione del rischio nell'UE. Le aziende dei settori critici che operano nell'UE o che servono clienti dell'UE devono aderire alla direttiva.

Mentre gran parte del discorso sulla NIS2 si concentra su come le aziende devono affrontare i nuovi requisiti di conformità, un gruppo di fornitori di servizi ha un ruolo fondamentale da svolgere: i managed security service provider (MSSP), ovvero i fornitori di servizi di sicurezza gestiti. Le aziende si affidano in maniera crescente alle loro capacità per aiutarle a gestire normative complesse come la NIS2.

La NIS2 si rivolge alle organizzazioni di medie e grandi dimensioni con sede nell'UE e al servizio dell'UE nei settori pubblico e privato. La precedente versione del regolamento (NIS) si applicava alle imprese dei settori dei trasporti, banche, mercati finanziari, infrastrutture digitali, acqua potabile, energia e sanità.

Ora, la NIS2 si estende a settori più critici come la produzione alimentare, la ricerca, la gestione dei rifiuti, la produzione, i servizi postali, la pubblica amministrazione, lo Spazio, le acque reflue e i fornitori digitali.

Alcune delle caratteristiche salienti della NIS2:

• Multe più elevate per la non conformità
• Obblighi più severi in materia di sicurezza della catena di approvvigionamento
• Obblighi più severi in materia di segnalazione degli incidenti
• Formazione obbligatoria dei dipendenti
• Piani di risposta agli incidenti ottimizzati
• Audit più frequenti in materia di sicurezza informatica
• Requisiti più severi in materia di gestione degli accessi
• Misure più severe di gestione del rischio di sicurezza informatica

MSSP e NIS2

Una volta che gli MSSP hanno identificato quali clienti devono soddisfare i requisiti NIS2, devono provvedere a una mole considerevole di lavoro per supportarli. In particolare:

• Assicurarsi che l'infrastruttura e le capacità di back-end, ovvero l'insieme dei dati e dei sistemi che permettono a un'applicazione o a un sito web di funzionare, siano in grado di gestire la NIS2.

Per garantire controlli di sicurezza adeguati che coprano le aree di interesse della NIS2, come la gestione degli accessi, la sicurezza della supply chain e il rilevamento e la risposta agli incidenti, gli MSSP devono assicurarsi che la loro infrastruttura di backend sia robusta e resiliente.

Tra gli elementi irrinunciabili dovrebbero esserci la capacità di automazione guidata dall'intelligenza artificiale, alti livelli di scalabilità per far fronte alle fluttuazioni della domanda e l'integrabilità per offrire un arsenale diversificato di strumenti e funzionalità di sicurezza indipendenti dai fornitori.

• Orientare e formare i clienti ai nuovi obblighi

La NIS2 è una direttiva senza un regolamento o una serie di istruzioni da seguire. Ciò significa che gli MSSP non devono dare per scontato che i propri clienti sappiano come affrontare questa nuova normativa.

I programmi di formazione e sensibilizzazione intensivi e personalizzati sono fondamentali. È inoltre importante mostrare queste iniziative con casi studio, storie di successo e benefici misurabili derivanti dall'adesione alla NIS2.

• Presentare una roadmap per la sicurezza informatica NIS2

Nuove normative come la NIS2 possono facilmente sopraffare le aziende. Il compito di un MSSP è quello di trasformare la conformità alla NIS2 in un processo semplice e attuabile, in linea con i budget e la propensione al rischio dei clienti.

Per sviluppare una roadmap personalizzata, è indispensabile una stretta collaborazione con il Chief Information Security Officer (CISO) dell'azienda. Per le aziende che non dispongono di un CISO a tempo pieno, gli MSSP dovrebbero impiegare il proprio CISO per contribuire alla creazione di una roadmap NIS2.

• Condurre valutazioni del rischio incentrate sulla NIS2

Utilizzando la direttiva NIS2 come quadro di riferimento, gli MSSP devono condurre valutazioni approfondite del rischio informatico per i loro clienti. In queste valutazioni, gli MSSP devono concentrarsi sulle minacce emergenti, ma anche ricontestualizzare quelle esistenti attraverso la nuova lente NIS2.

Una valutazione dovrebbe riguardare hardware, software, dati, identità, endpoint, reti e supply chain. Gli MSSP devono inventariare questi componenti critici, identificare i rispettivi proprietari, scoprire le relative dipendenze, classificare la gravità delle minacce da bassa a critica e sviluppare strategie di mitigazione per affrontare i rischi.

• Implementare controlli e policy di sicurezza aggiornati

Sebbene la NIS2 non fornisca una serie ufficiale di requisiti tecnici, gli MSSP dovrebbero concentrarsi sull'implementazione o sulla raccomandazione di controlli e strumenti di sicurezza come reti private virtuali (VPN), autenticazione a più fattori (MFA), accesso con privilegi minimi, rilevamento e risposta alle minacce, crittografia e sicurezza dei dati.

Per supportare questi controlli, gli MSSP devono creare politiche di sicurezza specifiche per la NIS2 e offrire la possibilità di personalizzare le policy per soddisfare specifiche esigenze di sicurezza.

• Avviare meccanismi di monitoraggio e registrazione 24/7

La conformità alla NIS2 richiede una vigilanza costante. Per gli MSSP l'unico modo per garantirla ai propri clienti è quello di implementare sistemi di monitoraggio e di registrazione 24 ore su 24, 7 giorni su sette: l'unico modo per rimanere al passo con l'attuale panorama delle minacce e gli incessanti attacchi informatici.

Dal punto di vista della conformità, un monitoraggio e una registrazione ottimizzati possono anche contribuire ad accelerare la risoluzione degli incidenti e la stesura di report.

• Scansione regolare delle vulnerabilità sfruttabili

Per ottenere la conformità NIS2, le aziende devono fare della gestione delle vulnerabilità la pietra miliare del loro programma di sicurezza. Gli MSSP possono contribuire fornendo i mezzi per eseguire una scansione continua degli ambienti IT dei loro clienti alla ricerca di vulnerabilità sfruttabili.

Tuttavia, gli MSSP non devono limitarsi a identificare le vulnerabilità. Devono anche concentrarsi sulla prioritizzazione contestuale delle vulnerabilità scoperte, rimediando a quelle che possono portare alle risorse e ai dati più sensibili dei loro clienti.

• Aggiornare gli strumenti e i protocolli di conformità

Per garantire che i propri clienti raggiungano rapidamente la maturità NIS2, gli MSSP devono implementare strumenti e protocolli di conformità solidi: dagli strumenti di valutazione delle vulnerabilità a quelli di reporting.

Una soluzione semplice e rapida per trasformare la conformità dei clienti è l'introduzione di strumenti e piattaforme basati sull'intelligenza artificiale e sull'automazione. Questi possono accelerare i processi di conformità, migliorare l'accuratezza dei risultati e supportare i clienti in ogni fase della loro roadmap verso la conformità alla NIS2.

• Valutare i rischi di sicurezza dei fornitori terzi

La forte enfasi posta dalla NIS2 sulla sicurezza della catena di approvvigionamento non deve essere trascurata. Secondo IBM, le violazioni della supply chain hanno aumentato il costo medio delle violazioni dei dati nel 2024 di 221.718 dollari.

Per gli MSSP, questo significa valutare le pratiche di sicurezza dei fornitori terzi dei clienti, aiutarli a gestire i modelli di responsabilità condivisa e integrare le funzionalità di sicurezza della catena di fornitura nei loro stack di sicurezza informatica.

• Stabilire solidi playbook per la risposta agli incidenti e il ripristino

Indipendentemente dalla resilienza della postura di sicurezza dei clienti, gli incidenti informatici sono inevitabili e la risposta e il ripristino dei dati devono essere una priorità assoluta. Per ottimizzare la risposta agli incidenti, gli MSSP devono introdurre solidi framework indipendenti, playbook personalizzati per affrontare tipi specifici di attacchi e incidenti e meccanismi di rilevamento e risposta basati sull’IA.

Con i giusti protocolli di risposta agli incidenti, gli MSSP possono garantire la continuità operativa, la sicurezza dei dati e la conformità NIS2 generale per i loro clienti.

• Introdurre pratiche più rigorose di segnalazione della sicurezza informatica

Gli MSSP devono formare i clienti sui nuovi requisiti di segnalazione e notifica degli incidenti della NIS2, che comprendono avvisi tempestivi, divulgazione ufficiale, report ad hoc sullo stato e report finali completi per i team di risposta agli incidenti di sicurezza informatica e le autorità.

Se i clienti dispongono di team di emergenza interni, gli MSSP possono aiutarli a creare questi rapporti. Per i clienti che invece non ne dispongono, gli MSSP dovrebbero implementare il proprio centro operativo di sicurezza (SOC) e i team di risposta agli incidenti per gestire e riferire sugli incidenti informatici.

• Incoraggiare la condivisione delle informazioni sulle minacce

Per rafforzare le capacità di sicurezza informatica e diventare conformi alla normativa NIS2, le aziende devono avere accesso immediato alle informazioni più recenti sulle minacce.

Ciò significa che gli MSSP devono fornire ai clienti le informazioni sulle minacce. Tuttavia, è anche importante incoraggiare i clienti a unirsi a comunità e partnership di threat intelligence più ampie, soprattutto con altre aziende che rientrano nell'ambito di applicazione della NIS2.

Check Point aiuta gli MSSP a navigare nella NIS2

Per gli MSSP, aiutare i clienti a navigare nelle nuove normative come la NIS2 è un servizio fondamentale.

Aderendo al MSSP Partner Program di Check Point, gli MSSP possono accedere a funzionalità avanzate basate sull'intelligenza artificiale e disponibili nel cloud, dal rilevamento e dalla risposta agli incidenti alla condivisione delle informazioni sulle minacce. Gli MSSP ricevono soluzioni personalizzate per rispondere agli obblighi dell'intero spettro dei settori NIS2, dalla produzione alimentare ai fornitori digitali.

Con la semplicità, la scalabilità e la redditività come pilastri, il programma aiuta gli MSSP a migliorare le proprie offerte di servizi, ad aprire nuovi flussi di entrate e a migliorare i margini. La gestione consolidata con gerarchia multi-tenant e solidi strumenti di automazione consentono una gestione efficiente di clienti, servizi e prodotti.

Infine, Check Point Infinity Global Services offre servizi di cybersecurity end-to-end per gli MSSP da parte degli esperti Check Point. Questi servizi includono MDR 24 ore su 24, 7 giorni su 7, programmi di formazione appositamente studiati e una ricca selezione di soluzioni di prevenzione delle minacce che possono aiutare gli MSSP a rispettare la conformità alla NIS2.