Il termine è già scaduto. NIS2 (la direttiva europea aggiornata in materia di cybersicurezza) doveva essere recepita nel diritto nazionale di tutti gli Stati dell’Unione entro il 17 ottobre 2024. Se la vostra organizzazione eroga servizi essenziali, o è un attore rilevante in uno dei settori coperti, la domanda non è più se le regole si applichino, ma se siate in grado di dimostrare a un’autorità di controllo che i vostri controlli di accesso le rispettano. E per la prima volta quella domanda ricade sul consiglio di amministrazione, non solo sul reparto IT.
L’autenticazione è ora scritta nella legge, non solo nelle linee guida
I precedenti quadri di buone pratiche raccomandavano l’autenticazione a più fattori. NIS2 va oltre. Le sue misure di base per la gestione del rischio (articolo 21) impongono alle organizzazioni di adottare controlli tecnici che includono politiche di controllo degli accessi, crittografia e (indicato in modo esplicito) l’uso, ove opportuno, di soluzioni di autenticazione a più fattori o di autenticazione continua.
Nella pratica, un secondo fattore debole o facoltativo non è più una posizione difendibile. Se un auditor chiede come un amministratore con privilegi accede alla vostra VPN, ai vostri server Windows o alla vostra console di gestione, «una password e a volte un codice via SMS» è la risposta che apre un rilievo.
A chi si applica
NIS2 distingue le organizzazioni in soggetti essenziali e importanti su un ampio insieme di settori: energia, trasporti, settore bancario e infrastrutture dei mercati finanziari, sanità, acqua potabile e acque reflue, infrastrutture digitali, pubblica amministrazione e altri ancora, con una seconda fascia che vi include i servizi postali, la gestione dei rifiuti, la fabbricazione, gli alimenti, i prodotti chimici e i fornitori digitali. Molte organizzazioni che rimanevano fuori dalla direttiva NIS originaria ora rientrano a pieno titolo nella sua erede.
Due cambiamenti spingono tutto questo ben oltre una casella di conformità da spuntare:
- Responsabilità del vertice aziendale. Gli organi di amministrazione devono approvare e supervisionare le misure di gestione del rischio di cybersicurezza e possono essere ritenuti personalmente responsabili in caso di inadempienze.
- Sanzioni concrete. Le autorità di controllo possono imporre multe significative: fino a 10 milioni di euro o al 2% del fatturato annuo globale, a seconda di quale importo sia più elevato, per i soggetti essenziali.
Che aspetto ha davvero un’autenticazione «all’altezza di NIS2»
Avere un po’ di MFA non equivale a soddisfare l’intento della direttiva. Tre elementi distinguono un controllo che convince un auditor da uno che fa bella figura solo su una slide:
- Resistenza al phishing. I codici via SMS possono essere intercettati o colpiti da SIM swap, e sia questi sia il semplice push a un tocco cadono di fronte al relay adversary-in-the-middle. Una chiave vincolata all’hardware all’interno del dispositivo dell’utente, che non può essere copiata né riprodotta, elimina questa categoria di rischio. Il push-fatigue è un problema distinto, e nessuna chiave o dato biometrico lo ferma una volta che la richiesta raggiunge il telefono: lo si sconfigge soltanto con ciò che la richiesta mostra: una descrizione precisa e leggibile di esattamente ciò che si sta approvando, così che nulla venga mai approvato alla cieca.
- Copertura degli accessi privilegiati e da remoto. Il requisito non è «MFA sulla webmail». È ogni percorso che un attaccante userebbe davvero: VPN, desktop remoto, accessi ai server, console di amministrazione.
- Evidenze. NIS2 riguarda tanto il dimostrare di avere il controllo quanto l’averlo. Ogni autenticazione dovrebbe lasciare una traccia verificabile e a prova di manomissione di chi ha approvato che cosa, e quando.
Dove si colloca Notakey
Notakey è pensato esattamente per questo profilo di organizzazione: regolamentata, attenta alla sicurezza e chiamata a rispondere agli auditor.
- La chiave dell’utente viene generata all’interno dell’hardware sicuro del telefono e non lo lascia mai. Non c’è alcun segreto condiviso da rubare e nulla da sottoporre a phishing.
- Ogni accesso e ogni transazione è un evento firmato crittograficamente e contrassegnato con data e ora: la traccia di audit che una valutazione NIS2 richiede, prodotta automaticamente anziché ricostruita a posteriori.
- Copre i percorsi di accesso che contano, sui protocolli che i vostri sistemi già parlano. Consultate le guide pratiche su 2FA su VPN tramite RADIUS, desktop remoto Windows e SSH su Linux.
- Funziona nella vostra infrastruttura o nel cloud, così i dati di autenticazione possono restare sotto il vostro controllo, con l’allineamento a PSD2, eIDAS e GDPR integrato all’origine anziché aggiunto in un secondo momento.
Non abbiamo alcuna intenzione di dirvi che Notakey «vi rende conformi a NIS2». Nessun prodotto lo fa da solo. Ciò che fa è colmare la parte del divario che riguarda l’autenticazione e consegnarvi le evidenze per dimostrarlo.
Partite da un progetto pilota, non da un documento di policy
Il modo più rapido per scoprire se la vostra autenticazione è all’altezza di NIS2 è metterla alla prova nel vostro ambiente: una VPN reale, un accesso da amministratore reale, un pugno di utenti reali. Vi dirà molto di più sul vostro divario (e sulle vostre evidenze) in una settimana di quanto una matrice di funzionalità vi dica in un trimestre.
Provate la demo dal vivo per firmare una transazione dal vostro telefono in circa due minuti, oppure richiedete una demo e mapperemo il vostro accesso a VPN, SSO o Windows su un pilota funzionante.
Questo articolo fornisce informazioni di carattere generale e non costituisce consulenza legale. NIS2 è recepito nel diritto nazionale in modo distinto da ciascuno Stato membro dell’UE; verificate con un consulente qualificato gli obblighi, le soglie e le scadenze specifici che si applicano alla vostra organizzazione.