Prepararsi a DORA e NIS 2 seguendo la lezione del GDPR

di Manlio De Benedetto - Senior Director Sales Engineering EMEA di Cohesity

A sei anni dall’adozione del GDPR, è ormai chiaro il quadro della sua attuazione e dei procedimenti avviati, sanzioni incluse. Come nel caso del GDPR, anche nella stesura del Digital Operational Resilience Act (DORA), dedicato al settore finanziario, e della direttiva Network and Information Security 2 (NIS 2), che aggiorna le norme in materia di sicurezza informatica adottate nel 2016, l’UE ha previsto multe significative non solo per ottimizzare il trattamento dei dati, ma anche per spingere le organizzazioni a strutturarsi meglio per resistere agli attacchi informatici. In sintesi, con il DORA e la NIS 2 sono state introdotte regole volte a stimolare una maggiore resilienza informatica. 

La lezione del GDPR

Il DORA entrerà in vigore il 17 gennaio 2025, mentre la NIS 2 dovrà essere recepita dagli Stati membri al più tardi il 17 ottobre 2024. Alcuni Paesi europei sono già a buon punto e approveranno a breve le normative locali. Normative che, come nel caso del GDPR, prevederanno sanzioni significative per le violazioni, a conferma del trend di inasprimento avviato con l’IT Security Act 2.0 del 2021. Nel dettaglio, se le aziende non rispetteranno gli obblighi stabiliti dal DORA, rischieranno multe fino a 10 milioni di euro o pari al 5% del fatturato globale dell’anno precedente. Le ammende previste dalla NIS 2 sono ancora più severe e interesseranno da vicino anche il management: le persone giuridiche potranno infatti essere sanzionate da 100 mila euro fino a 20 milioni di euro. Inoltre è prevedibile che le autorità perseguiranno le trasgressioni con lo stesso rigore che stanno dimostrando con il GDPR.

Sfruttare il lavoro fatto col GDPR

Il GDPR ha già imposto alle aziende una migliore gestione dei dati personali, richiedendo loro di gestirli in modo più rigoroso e attento rispetto a qualsiasi altra informazione. La previsione di ulteriori tutele, come il diritto all’oblio e l’obbligo di segnalare la perdita di dati, ha richiesto anche di implementare processi e flussi di lavoro che possono essere utilizzati in modo simile per NIS 2 e DORA in caso di attacco. Il ricorso a una piattaforma di sicurezza e gestione dei dati guidata dall’intelligenza artificiale può aiutare enormemente le imprese a implementare questi processi in modo scalabile ed efficiente.

Permette infatti di:

Conoscere l’esatto contenuto dei dati - In caso di attacco, gli hacker vogliono rubare, criptare o cancellare i dati. Le organizzazioni devono quindi sapere esattamente quali dati possiedono e che valore hanno per rispondere a determinati requisiti di governance e conformità. Inoltre, potranno capire più rapidamente quali dati sono stati colpiti nel caso in cui i criminali informatici siano riusciti a penetrare, accelerando la stesura dei report previsti da NIS 2 e DORA e rendendo i risultati molto più precisi. Si tratta però di un compito gigantesco per la maggior parte delle aziende, che accumulano ormai montagne di informazioni di cui sanno poco o nulla. In questo ambito, soluzioni di AI^, come Cohesity Gaia. Poichè Cohesity indicizza e classifica i dati dal proprio backup, permette di esaminare in dettaglio i dati interessati da un attacco anche se i sistemi originali sono stati colpiti da incidente informatico, possono aiutare a risolvere uno dei problemi più complessi classificando automaticamente i dati delle aziende. 

Controllare i flussi di dati - Se i dati sono classificati con le caratteristiche corrette, la piattaforma di gestione dei dati sottostante può applicare automaticamente le regole senza che il proprietario dei dati debba intervenire, riducendo il rischio di errore umano. Le attuali piattaforme di gestione dei dati controllano l’accesso a determinati dati criptandoli automaticamente e richiedendo agli utenti di autorizzarsi tramite multi-factor authentication. Queste policy di controllo degli accessi sono un elemento fondamentale della NIS 2, che impone una verifica granulare degli accessi basata sui ruoli applicando il principio di sicurezza del minimo privilegio. Cohesity supporta il concetto di quorum consentendo alle organizzazioni di implementare il principio di sicurezza della separazione dei compiti.

Rispondere agli incidenti - Come molti attacchi informatici hanno insegnato, un’azienda deve essere in grado di agire. Al contrario, in caso di ransomware o di attacco wiper, le luci dell’azienda si spengono e non funziona più nulla: niente telefono, niente e-mail, niente database, per non parlare del sito. I team IT dei CIO e dei CISO non sono nemmeno in grado di rispondere a questi attacchi perché tutti gli strumenti di sicurezza sono offline, le prove nei log e nei sistemi sono criptate e non è possibile chiamare il proprio team perché il VoIP non funziona. Diversamente, con soluzioni cloud evolute^, come Cohesity Data Cloud Platform, i team dell’infrastruttura e della sicurezza possono creare una clean room isolata contenente un set di strumenti e dati di sistema e di produzione per dare avvio a un’operazione di emergenza sicura che copra il sistema IT e avviare poi un processo di incident response. Inoltre la clean room permette di ripristinare le attività in modo graduale e in stretto coordinamento con i team dell’infrastruttura, con sistemi sicuri e affidabili. Non da ultimo, questi processi sono essenziali anche per generare i report previsti dalle normative NIS 2, DORA e GDPR.

La direttiva NIS 2 e il regolamento DORA sono importanti per l’Europa e l’economia perché rafforzano la resilienza informatica delle organizzazioni. L’AI e strumenti come il ransomware as a service non solo hanno aumentato la quantità di attacchi informatici, ma anche la loro qualità. Le infrastrutture digitali devono pertanto diventare più solide e reattive. Per farlo, le aziende devono rivedere e ottimizzare tutti i processi e i flussi di lavoro che gestiscono i dati.