Il recente recepimento della Direttiva NIS2 ha l’obiettivo di rendere le amministrazioni più sicure e resilienti. Per fare il punto sulle novità e sulle soluzioni a disposizione della PA, Veeam organizza un roadshow dedicato: l’appuntamento da non perdere è il 26 novembre a Roma condividere esperienze e buone pratiche di Data Resilience
30 Ottobre 2024
O
Paola Orecchia
Giornalista
Foto di Riley McCullough su Unsplash - https://unsplash.com/it/foto/uomo-che-tiene-fuochi-dartificio-x4IIa7-3c7E
Con il recepimento della Direttiva europea NIS2 (Network and Information Systems 2), avvenuto lo scorso 1° ottobre, in seguito all’emanazione del D.lgs. 138/2024, l’Italia si adegua alla Direttiva UE 2022/2555 e mette a disposizione della PA nuovi elementi strategici utili a innalzare il livello di sicurezza e di resilienza delle organizzazioni pubbliche.
Oltre che doveroso, il recepimento della NIS2 risponde all’esigenza di difendere la sovranità digitale da una minaccia cibernetica che si espande rapidamente e che si caratterizza per complessità, perniciosità, frequenza e penetrazione. Non esiste settore produttivo, pubblico o privato, che ne sia immune. Ecco perché la NIS2 introduce misure ancor più rigorose per proteggere le infrastrutture critiche rispetto alla normativa precedente (NIS1), creando al contempo un quadro normativo armonizzato a livello UE. Per le pubbliche amministrazioni, innanzitutto, amplia la platea di soggetti coinvolti.
NIS2: i nuovi soggetti coinvolti
La NIS2 estende significativamente l’ambito di applicazione della NIS1 alle pubbliche amministrazioni. Oltre alle amministrazioni centrali e regionali, la direttiva prevede la possibilità di includere anche le amministrazioni locali e gli istituti di ricerca. Questo ampliamento riflette la crescente digitalizzazione dei servizi pubblici e la necessità di proteggere le infrastrutture critiche che erogano servizi essenziali.
La NIS2 responsabilizza gli organi di gestione delle pubbliche amministrazioni in materia di cybersecurity. La direttiva prevede sanzioni elevate per le violazioni, sottolineando l’importanza di adottare misure adeguate a proteggere i sistemi informatici. Le amministrazioni devono garantire che il personale sia adeguatamente formato e che siano in atto processi di governance efficaci per la gestione della sicurezza informatica.
Un approccio olistico alla sicurezza informatica
L’articolo 24 della NIS2 promuove un approccio a tutto tondo alla cybersecurity. Le pubbliche amministrazioni sono chiamate a non limitarsi alla protezione dagli attacchi informatici, ma a considerare tutti i possibili rischi che potrebbero compromettere i loro sistemi. Questo significa adottare misure di sicurezza che tengano conto sia delle minacce digitali (come il phishing o il ransomware) sia dei rischi fisici (come incendi, allagamenti o furti). L’obiettivo è garantire la massima protezione dei dati e dei servizi erogati alla cittadinanza.
La direttiva impone, quindi, sei obblighi specifici:
- Gestione proattiva dei rischi: identificazione e mitigazione tempestiva delle vulnerabilità. Ciò implica sia effettuare una valutazione iniziale, analizzando lo stato dell’arte e i gap rispetto ai requisiti della normativa, sia definire un programma di azione, che indichi le misure da adottare, i tempi e le risorse necessarie;
- garanzia della continuità operativa: piani di emergenza e backup regolari per assicurare la disponibilità dei servizi;
- gestione efficace degli incidenti: comunicazione tempestiva e azioni rapide in caso di attacchi informatici;
- governance centralizzata: coordinamento delle attività di cybersecurity a livello organizzativo;
- sicurezza della supply chain: valutazione dei rischi legati ai fornitori e ai prodotti IT;
- formazione del personale: sensibilizzazione e addestramento continuo.
Data Resilience, esperienze e buone pratiche: l’evento Veeam
Affinché attuino le prescrizioni della NIS2, le amministrazioni pubbliche hanno facoltà di dotarsi, in primis, di soluzioni informatiche adeguate. Altrettanto fondamentale è l’attitudine delle amministrazioni nei confronti del rischio cyber, che si declina in competenza specifica dei soggetti che utilizzeranno le soluzioni tecnologiche e, ancor più determinante, la consapevolezza degli operatori di qualsiasi ufficio.
Dell’approccio tecnologico e della necessità di coinvolgere tutti i dipendenti delle amministrazioni in progetti di formazione si parlerà il 26 novembre a Roma, presso NH Collection Roma Centro, nel corso di un evento organizzato da Veeam. L’appuntamento chiude il roadshow Veeam che ha attraversato l’Italia nelle scorse settimane, al fine di supportare le pubbliche amministrazioni nei processi di adeguamento alla NIS2 e condividere esperienze e buone pratiche di Data Resilience.
Data Resilience, i 5 pilastri della tecnologia Veeam
L’ecosistema IT è in continua evoluzione, con l’adozione sempre più diffusa di ambienti multi-cloud e di nuove tecnologie come Kubernetes. Veeam ha saputo anticipare queste tendenze offrendo una piattaforma flessibile e scalabile in grado di proteggere i dati in qualsiasi ambiente. La Veeam Data Platform supporta una vasta gamma di carichi di lavoro, inclusi cloud pubblici, privati e ibridi, virtualizzazioni e applicazioni SaaS. Grazie a questa versatilità, le PA possono ridurre la complessità della gestione dei dati.
“Oggi, ogni organizzazione fa affidamento sulla disponibilità dei dati, indipendentemente da cosa accada. Quando accade il peggio, che sia a causa di un ransomware, di un disastro naturale o di un aggiornamento di sicurezza involontario, la resilienza dei dati è fondamentale”, ha affermato Anand Eswaran, CEO di Veeam. “In Veeam, stiamo potenziando la resilienza dei dati dal backup e ripristino alla protezione end-to-end dai ransomware per oltre 550.000 organizzazioni in oltre 150 paesi in tutto il mondo. La nostra responsabilità è garantire che i loro dati siano disponibili ovunque e in qualsiasi momento ne abbiano bisogno. Prendiamo questo molto seriamente ed è il motivo per cui continuiamo a investire nell’innovazione per garantire che le nostre aziende continuino a funzionare”.
Basandosi sulla metodologia NIST, la Data Platform Veeam si compone di 5 diverse funzionalità:
- Data Backup
- Data Recovery
- Data Freedom
- Data Security
- Data Intelligence
La Data Platform di Veeam utilizza protocolli di sicurezza multilivello, monitoraggio in tempo reale e crittografia avanzata per proteggere i dati da minacce interne ed esterne. E oltre al backup e alla crittografia standard, Veeam Data Platform offre funzionalità come backup di storage Direct-to-Object, immutabilità e resilienza informatica avanzata per garantire che i dati non siano solo sottoposti a backup, ma anche recuperabili e protetti.
La concertazione di queste funzioni tecnologiche consente alle organizzazioni migliorare la propria resilienza informatica nel solco della NIS2.
Ad agosto 2024, Gartner ha nominato Veeam #1 per quota di mercato nel mercato Enterprise Backup and Recovery Software per la prima volta. Veeam è il fornitore principale nel report Gartner Market Share Analysis: Enterprise Backup and Recovery Software, Worldwide, 2023, basato su una quota di mercato del 15,1%, ricavi di 1,5 miliardi di $ e una crescita anno su anno dell’11,8% nel 2022-2023.