Con l’entrata in vigore della direttiva NIS2, i fornitori di servizi cloud computing sono chiamati a rafforzare la sicurezza delle proprie infrastrutture digitali. Ecco in che modo.
Indice degli argomenti
Sicurezza cloud e Nis2, cosa dice la legge
I cloud provider rientrano nel perimetro della NIS2 – quali entità essenziali – e sono definiti all’”Articolo 6 – Definizioni” del testo della direttiva come coloro che forniscono “un servizio digitale che consente l’amministrazione on-demand e un ampio accesso remoto a un pool scalabile ed elastico di risorse informatiche condivisibili, anche nel caso in cui tali risorse siano distribuite su più sedi”.
Inoltre, nella direttiva NIS2 -Preambolo [33], è specificato che i fornitori di servizi cloud computing forniscono anche risorse informatiche quali: reti, server o altre infrastrutture, sistemi operativi, software, storage, applicazioni e servizi. I modelli di servizio del cloud computing sono generalmente classificati come:
- Infrastructure-as-a-Service (IaaS) – L’operatore si occupa dell’infrastruttura fisica e della virtualizzazione, il cliente si occupa del livello di sistema operativo, middleware e applicazioni. Si riferisce all’erogazione, ad esempio, di server virtualizzati e spazio di salvataggio dati
- Platform-as-a-Service (PaaS) – L’operatore si occupa anche del livello del sistema operativo e del middleware e fornisce solo determinati servizi, come l’erogazione di ambienti, pre-configurati e amministrati per lo sviluppo di specifiche applicazioni per lo sviluppo software, la gestione di dati o di applicazioni.
- Software-as-a-Service (SaaS) -L’operatore fornisce un software specifico e tutti i componenti della piattaforma e dell’infrastruttura necessari; il cliente non deve praticamente occuparsi di alcun aspetto tecnico.
È doveroso evidenziare che la NIS 2 non è solo un aggiornamento normativo, ma una risposta strategica alle crescenti minacce cyber che caratterizzano il panorama digitale contemporaneo. Per i fornitori di servizi cloud, questa rappresenta una sfida complessa che richiede una revisione delle architetture di sicurezza, dei processi operativi e della governance aziendale.
Tipologie di rischi nel cloud computing
È doveroso evidenziare che, sebbene il cloud sia maturo come tecnologia, presenta alcuni rischi e, precisamente:
- Rischi tecnici – Il cloud computing presenta sfide di sicurezza intrinsecamente legate alla sua natura condivisa e distribuita. L’architettura multi-tenant introduce vulnerabilità specifiche che possono compromettere la sicurezza di tutti gli utenti della piattaforma attraverso l’hypervisor, l’isolamento inadeguato tra tenant e configurazioni errate che creano punti di accesso non autorizzati.
La delocalizzazione dei dati nei data center distribuiti geograficamente amplifica la complessità della protezione delle informazioni, richiedendo ai fornitori di implementare strategie di crittografia end-to-end sofisticate, gestione sicura delle chiavi crittografiche e controlli di accesso granulari che mantengano l’integrità dei dati attraverso molteplici giurisdizioni e infrastrutture.
La resilienza dei servizi rappresenta un altro aspetto critico, poiché gli outage possono generare effetti a cascata devastanti sui clienti. La NIS 2 risponde a questa criticità richiedendo piani di continuità operativa robusti, strategie di backup geograficamente distribuite e procedure di disaster recovery sottoposte a test regolari per garantire la capacità di ripristino rapido dei servizi critici.
- Rischi organizzativi – La governance aziendale subisce una trasformazione radicale con l’introduzione della NIS 2, che stabilisce la responsabilità diretta del management per la cybersecurity. Questa evoluzione comporta che i dirigenti possano essere soggetti a sanzioni personali, inclusa la responsabilità penale, creando un nuovo paradigma di accountability che richiede il coinvolgimento attivo della leadership aziendale nelle decisioni di sicurezza.
Inoltre, la gestione della supply chain diventa particolarmente complessa nel contesto cloud, dove i fornitori devono valutare e monitorare continuamente i rischi associati ai loro subfornitori. Tale necessità crea una catena di responsabilità interconnessa che si estende attraverso l’intero ecosistema, richiedendo processi di due diligence approfonditi e monitoraggio continuo delle performance di sicurezza lungo tutta la catena di fornitura.
- Rischi normativi e di compliance – Il quadro regolamentare europeo presenta una complessità crescente attraverso l’integrazione della NIS 2 con il GDPR, il Data Governance Act e altre normative settoriali. Tale convergenza normativa richiede competenze legali specializzate e una comprensione approfondita delle interazioni tra diversi framework normativi, creando sfide interpretative che possono influenzare significativamente le strategie di compliance. Inoltre, le violazioni, oltre all’aspetto pecuniario, comportano conseguenze significative sulla reputazione aziendale e sulla fiducia dei clienti, elementi che possono avere impatti a lungo termine sulla competitività del business.
NIS2: tipologie di cloud e implicazioni di sicurezza
Di seguito una descrizione delle varie tipologie di cloud e relative sfide in termini di cybersecurity ai fini NIS2.
- Cloud pubblico – Il modello di cloud pubblico presenta sfide uniche per la compliance NIS 2, richiedendo un approccio sofisticato alla gestione della sicurezza condivisa. Il Shared Responsibility Model diventa elemento cruciale, poiché i fornitori devono chiarire con precisione le responsabilità di sicurezza tra provider e cliente, definendo dettagliatamente chi è responsabile di ogni aspetto nella catena di sicurezza. Inoltre, l’’isolamento tra tenant rappresenta una delle sfide tecniche più complesse, richiedendo l’implementazione di tecnologie avanzate di virtualizzazione e controlli di accesso rigorosi che garantiscano la separazione logica e fisica delle risorse. Ancora, la scalabilità del monitoraggio diventa particolarmente critica, poiché i sistemi devono essere in grado di gestire volumi massivi di dati, oltre a identificare anomalie – in tempo reale – attraverso diverse istanze e servizi distribuiti geograficamente.
- Cloud privato – Il cloud privato offre maggiore controllo ma comporta responsabilità estese che richiedono un approccio diversificato alla sicurezza. L’organizzazione mantiene la responsabilità completa per tutti gli aspetti di sicurezza, dalla protezione fisica dell’infrastruttura fino alla sicurezza applicativa, richiedendo competenze tecniche approfondite e investimenti significativi in personale specializzato, tecnologie di sicurezza avanzate e processi di governance strutturati.
- Cloud ibrido e multi-cloud – Questi modelli architetturali introducono complessità aggiuntive che richiedono approcci orchestrati alla sicurezza. La gestione della sicurezza distribuita deve essere coordinata attraverso molteplici ambienti utilizzando strumenti e politiche coerenti che mantengano l’uniformità dei controlli di sicurezza. Mantenere visibilità completa e controllo su dati e applicazioni distribuite tra più provider diventa un challenge tecnico significativo che richiede soluzioni di security management integrate e capacità di monitoring cross-platform.
Servizi cloud e requisiti di sicurezza della NIS2
I fornitori di servizi di cloud computing, con l’entrata in vigore della direttiva NIS2, sono ufficialmente classificati come “entità essenziali”. Ciò comporta l’obbligo di conformarsi a rigorosi requisiti di cybersicurezza, attraverso l’adozione di un insieme strutturato di misure tecnico-organizzative basate su un approccio fondato sul rischio (risk-based approach), in coerenza con i principi già consolidati nel GDPR e nei principali framework europei di sicurezza informatica.
Le misure adottate devono garantire un livello di protezione proporzionato alla probabilità e all’impatto dei rischi identificati, tenendo conto della natura dei servizi erogati, del grado di interconnessione con altri attori della filiera digitale e della rilevanza strategica dell’infrastruttura cloud nel più ampio contesto socio-economico.
Il decreto individua in particolare i seguenti obblighi principali:
- Politiche sull’analisi dei rischi e sulla sicurezza dei sistemi informativi – È fondamentale avere accesso a competenze specialistiche, strumenti di sicurezza avanzati e un monitoraggio proattivo che migliorino la sicurezza del servizio cloud. Inoltre, è fondamentale condurre le valutazioni del rischio complete, implementare solidi controlli di sicurezza, oltre a garantire un monitoraggio continuo.
- Gestione degli incidenti – È necessario offrire un solido servizio di gestione degli incidenti per gestire efficacemente gli incidenti di sicurezza, tramite un monitoraggio e risposta 24 ore su 24, 7 giorni su 7, garantendo il rapido rilevamento e il contenimento delle minacce, in modo rapido ed efficace, riducendo al minimo potenziali danni e tempi di inattività.
- Continuità aziendale e gestione delle crisi – I fornitori di cloud computing devono garantire resilienza operativa e un rapido ripristino in caso di interruzioni, nel rispetto dei requisiti di conformità. È essenziale fornire soluzioni di disaster recovery affidabili, sistemi di failover automatizzati e backup dei dati in tempo reale su data center sicuri e distribuiti geograficamente, riducendo al minimo i tempi di inattività e la perdita di dati.
- Sicurezza nell’acquisizione, nello sviluppo e nella manutenzione delle reti e dei sistemi informativi – La competenza nelle pratiche di sviluppo sicuro aiuta a integrare la sicurezza in applicazioni e sistemi fin dall’inizio (DevSecOps). Di fatto, i fornitori di cloud devono garantire la progettazione di sistemi sicuri, la valutazione automatizzata delle vulnerabilità e la gestione delle patch, riducendo i rischi derivanti da software obsoleti o configurazioni non sicure.
- Politiche e procedure per valutare l’efficacia delle misure di gestione del rischio di sicurezza informatica – Si tratta di utilizzare monitoraggio continuo, reporting automatizzato e analisi avanzate per valutare le prestazioni dei framework di gestione del rischio rispetto alla NIS 2. Inoltre, è possibile eseguire regolarmente audit di sicurezza e di buona architettura per facilitare la conformità con un’interruzione minima delle attività operative.
- Politiche e procedure di sicurezza – I fornitori di cloud computing devono garantire misure tecniche e procedurali di prevenzione e mitigazione degli attacchi, tra cui l’adozione di sistemi di segmentazione di rete, crittografia dei dati, autenticazione multifattoriale (MFA) e controllo degli accessi.
- Catena di fornitura – I fornitori di cloud computing devono estendere le proprie pratiche di sicurezza informatica all’intera catena di fornitura e implementare solidi processi di gestione del rischio, unitamente ai relativi meccanismi di audit e supervisione. Ne consegue che i fornitori di servizi cloud devono essere in grado di identificare e di mitigare i rischi in fase di approvvigionamento e di acquisizione, nonché attraverso la sostituzione e l’offboarding dei fornitori. Tutto ciò implica una revisione profonda di diversi aspetti organizzativi e contrattuali da parte dei fornitori di servizi cloud. In particolare:
- Contratti e SLA con i clienti, che dovranno essere aggiornati per includere esplicitamente gli obblighi derivanti dalla NIS2, come la notifica degli incidenti, l’esecuzione di audit e la definizione delle responsabilità condivise in materia di sicurezza;
- Policy interne, da aggiornare o formalizzare per attribuire chiaramente ruoli e responsabilità, nonché definire i processi di rilevazione, gestione e risposta agli incidenti;
- Procedure di due diligence sulla supply chain, considerando che la sicurezza dei fornitori rappresenta oggi un elemento critico ai fini della conformità, e deve essere valutata e monitorata in modo sistematico.
- Formazione del personale – I fornitori di servizi cloud computing devono garantire una formazione continua del personale, che comprenda pratiche di sviluppo sicuro, protezioni crittografiche e gestione della configurazione per affrontare efficacemente i rischi per la sicurezza informatica.
Si rimanda all’Allegato 2 della determina ACN determina n.164179 per il dettaglio.
Sfide di implementazione dei requisiti NIS2 per i fornitori dei servizi di cloud computing
Di seguito le principali sfide legate all’implementazione dei requisiti NIS2 che i fornitori di servizi di cloud computing si trovano a gestire.
- Complessità tecnica – L’implementazione delle misure NIS 2 richiede competenze multidisciplinari che spaziano dalla cybersecurity alla compliance legale, creando la necessità per i fornitori di investire in risorse umane altamente specializzate. Gli addetti alla sicurezza devono possedere esperienza approfondita in ambienti cloud complessi e comprendere le interazioni tra diversi layer tecnologici, mentre i compliance officer devono specializzarsi nelle normative europee e nelle loro implicazioni operative. Ne consegue che i DevSecOps engineer assumono un ruolo cruciale nell’integrazione della sicurezza nei processi di sviluppo, garantendo che i controlli di sicurezza siano incorporati fin dalle prime fasi del ciclo di vita del software.
- Costi e investimenti – La compliance NIS 2 comporta investimenti significativi che impattano su molteplici aspetti dell’organizzazione. Dato che le tecnologie di sicurezza avanzate richiedono budget considerevoli per l’acquisizione e la manutenzione, mentre il personale specializzato deve essere attratto e mantenuto in un mercato del lavoro altamente competitivo. Inoltre, i processi di certificazione e di compliance richiedono tempo e risorse considerevoli, inclusi consulenti esterni, audit periodici and training specializzato che comportano costi ricorrenti significativi.
- Gestione del Change Management – L’adozione della NIS 2 richiede una trasformazione culturale che coinvolge ogni livello dell’organizzazione, dal top management fino ai team operativi. In particolare, il commitment della leadership diventa fondamentale per garantire l’allocazione delle risorse necessarie e la responsabilità diretta del top management nelle decisioni di sicurezza. Inoltre, la collaborazione cross-funzionale tra team tecnici, legali e business deve essere strutturata attraverso processi formali che facilitino la comunicazione e l’allineamento degli obiettivi. Ancora, il percorso di miglioramento continuo dei processi di sicurezza richiede l’implementazione di cicli di feedback strutturati e la capacità di adattamento rapido all’evoluzione del panorama delle minacce.
A fronte ti quanto sopra si consiglia ai fornitori di servizi cloud, un approccio strategico che deve focalizzarsi su investimenti proattivi in security by design, integrando la sicurezza fin dalle fasi iniziali di progettazione dei servizi e dei prodotti.
Inoltre, lo sviluppo di partnership strategiche con fornitori specializzati in cybersecurity può facilitare l’accesso a competenze e a tecnologie avanzate senza la necessità di sviluppare internamente tutte le capacità tecniche richieste. Ancora, la creazione di centri di eccellenza interni per la gestione della compliance normativa garantisce la concentrazione delle competenze specialistiche e la standardizzazione dei processi. Infine, è consigliabile l’implementazione di programmi continui di compliance che anticipino le evoluzioni normative per mantenere un vantaggio competitivo e ridurre i costi di adeguamento a nuove normative.
Cloud e Nis2, come fare
La direttiva NIS2 rappresenta non solo un obbligo normativo, ma anche un’opportunità strategica per i fornitori di servizi di cloud computing per contribuire alla costruzione di un ecosistema digitale più sicuro e resiliente.
Di fatto, garantire la conformità richiede un impegno concreto su più livelli: dall’adozione di misure tecniche adeguate, alla revisione dei processi interni, fino alla gestione dei rischi lungo tutta la filiera.
La NIS2 impone un cambio di passo: non basta più reagire agli incidenti, ma è necessario adottare un approccio proattivo e olistico che integri investimenti tecnologici, sviluppo delle competenze, governance chiara e una leadership consapevole. In questo scenario, i fornitori cloud non sono semplici esecutori, ma attori chiave nella trasformazione digitale dell’Europa: il loro impegno sarà determinante per tradurre gli obiettivi della direttiva in risultati concreti e duraturi.