Il 2025 potrebbe davvero essere l’anno in cui la cyber security farà quello “scatto in avanti” che gli esperti considerano fondamentale per superare, soprattutto in Italia, quell’inerzia che rimane una delle principali cause della fragilità delle infrastrutture digitali nostrane.
Lo scenario continua a essere preoccupante, caratterizzato da uno scenario in cui il crimine informatico è in costante crescita e l’impatto dei cyber attacchi ai danni delle aziende non accenna a diminuire.
A rendere ancora più complessa la situazione è anche uno scenario geopolitico sempre più frammentato e le ripercussioni dei conflitti in atto in Europa e Medioriente.
L’Italia, sotto questo profilo, si distingue per una serie di specificità che emergono anche dai dati raccolti dal Clusit e pubblicati nel rapporto 2025. Tra questi spicca una particolare vulnerabilità delle infrastrutture pubbliche, che rispetto ad altri paesi europei faticano a contrastare anche attacchi piuttosto convenzionali come il DDoS.
L’introduzione della direttiva europea NIS2, in quest’ottica, rappresenta però un’occasione per fare un (quanto mai necessario) salto di qualità nella postura di cyber security da parte di imprese ed enti pubblici.
L’aggiornamento della normativa, infatti, non si limita ad ampliare il numero di soggetti coinvolti, ma introduce anche una logica che mira a creare un vero e proprio “ecosistema di sicurezza” in grado di impattare in maniera diffusa sul livello di postura di cyber security.
Indice degli argomenti
Focus sul percorso di adeguamento alla NIS2
Dopo il recepimento della direttiva NIS2, in Italia si è aperto il percorso di adeguamento alla norma.
Se la prima fase ha previsto il semplice censimento dei soggetti che sono sottoposti agli obblighi previsti, NIS2 prevede una serie di scadenze che portano progressivamente alla sua attuazione. Il processo, nel nostro paese, coinvolge un numero di aziende che viene stimato tra le 25.000 e le 40.000.
“La direttiva prevede interventi che impattano su aspetti di governance, gestione del rischio e gli obblighi di denuncia degli incidenti” spiega Stefano Alei, Transformation Architect di Zscaler. “Per gli operatori del settore è indispensabile riuscire a offrire alle aziende gli strumenti che permettono di raggiungere la compliance con la normativa”.
Per comprendere questo aspetto, sottolinea Alei, è fondamentale comprendere il tipo di approccio di NIS2. “La normativa non prevede obblighi specifici a livello delle tecnologie utilizzate, ma fissa un obiettivo di sicurezza” sottolinea.
“Quello che si chiede è di adottare soluzioni e strategie che permettano di un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti, tenuto conto delle conoscenze più aggiornate e dello stato dell’arte in materia”.
Insomma: quello a cui ci troviamo di fronte è un vero processo che richiede l’identificazione dei livelli di rischio, la definizione (e implementazione) degli strumenti e il loro monitoraggio.
Il paradigma Zero Trust come strategia per la compliance
Se gli obiettivi di NIS2 sono quindi piuttosto “flessibili”, la risposta migliore secondo Stefano Alei è quella di adottare una strategia Zero Trust. “Si tratta dell’unico riferimento puntuale nella normativa” sottolinea il manager di Zscaler. “D’altra parte questo tipo di approccio è il più indicato per garantire un livello di sicurezza adeguato”.
La filosofia Zero Trust prevede l’adozione di un modello che risponde a una serie di esigenze emerse a causa del processo di trasformazione digitale alla base anche di NIS2. In primo luogo, dettato dall’adozione di infrastrutture IT sempre più complesse e decentralizzate. La prepotente diffusione delle piattaforme cloud è solo una dei fattori che ha portato a una radicale messa in discussione delle tradizionali strategie di cyber security.
“Il vecchio concetto della difesa perimetrale è superato” sottolinea Alei. “Limitarsi a gestire l’accesso a una rete a o una porzione di essa non è più sufficiente per garantire un reale livello di protezione degli asset digitali”.
Un fenomeno, quello della cosiddetta “evaporazione del perimetro”, che è destinato a evolvere ulteriormente, in particolare a causa della tendenza a prevedere sistemi di comunicazione digitali che coinvolgono diversi soggetti all’interno della filiera di produzione o di erogazione dei servizi.
L’automazione della supply chain, infatti, aumenta la complessità degli ecosistemi IT e, di conseguenza, la superficie di attacco a disposizione di eventuali cyber criminali.
Un aspetto, questo, che riverbera anche nelle previsioni di NIS2, che ha individuato nella filiera del valore proprio uno degli elementi più rilevanti da proteggere, e che impatta il panorama delle aziende nel perimetro NIS2: in altre parole: la norma non si applica solo alle realtà impegnate direttamente in settori critici, ma anche ai loro fornitori.
L’approccio Zero Trust nella pratica
Ma come si declina Zero Trust a livello di protezione? “Una strategia di questo tipo deve abbandonare la logica tradizionale e prendere in considerazione ogni singola sessione all’interno dell’ecosistema IT” spiega Alei. “La strategia di Zscaler è quella di prevedere un layer che esegue un processo continuo di verifica degli accessi, in cui ogni sessione viene autorizzata solo dopo aver controllato la postura di sicurezza del dispositivo e dell’utente”.
Un controllo, specifica il manager, che avviene anche quando non è coinvolto un essere umano ma anche diverse applicazioni che dialogano tra loro. La strategia permette di impedire il cosiddetto “movimento laterale” all’interno delle reti e, al tempo stesso, individuare tempestivamente eventuali anomalie o attività sospette.
“Si tratta di un approccio flessibile, che si adatta alla perfezione allo spirito della direttiva NIS 2” sottolinea Stefano Alei. “In particolare, l’adozione di questo tipo di tecnologie permette di adattarsi rapidamente anche ai cambiamenti delle infrastrutture IT e dei processi stessi all’interno dell’azienda e dell’intera supply chain” conclude.
Contributo editoriale sviluppato in collaborazione con Zscaler
