La normativa europea coinvolge gran parte del tessuto economico nazionale e richiede alle aziende un approccio integrato alla protezione di sistemi informatici e controlli fisici; in questo contesto, la capacità di valutare e gestire correttamente i rischi rappresenta una sfida strategica per le imprese di ogni dimensione
«Oggi la nostra attenzione si concentra sull’impatto della NIS 2 (Direttiva UE 2022/2555), entrata in vigore in Italia dal 2024. La normativa coinvolge tutte le aziende con più di 50 dipendenti: pone al centro la cybersecurity e la protezione dei sistemi informatici, con conseguenze dirette anche sui sistemi di controllo degli accessi fisici», spiega Giorgio Danieli, cofondatore di Digitronica.IT, software house specializzata nello sviluppo di soluzioni di sicurezza fisica.
La NIS 2 impatta su un numero enorme di imprese, attive in settori molto diversi. È una direttiva che riguarda circa l’80% dell’economia nazionale. «L’obiettivo della normativa è la sicurezza digitale, ma nella realtà non esiste più una separazione netta tra sicurezza logica e sicurezza fisica, poiché anche i sistemi di protezione perimetrale e di accesso si basano sull’infrastruttura ICT», sottolinea Danieli.
Il tema riguarda quindi il controllo accessi, ma anche la videosorveglianza e tutte quelle tecnologie di sicurezza che devono garantire standard elevati lungo l’intero sistema di protezione.
«Questi sistemi si basano su infrastrutture informatiche che rientrano nel perimetro della direttiva e che, allo stesso tempo, contribuiscono a soddisfarne i requisiti. La normativa, per esempio, impone la protezione dei locali TLC e dei data center, garantendo sia un controllo rigoroso degli accessi sia la tracciabilità di ogni evento. Per questo non basta controllare chi entra: ogni ingresso deve essere registrato nei log ed essere oggetto di audit. Bisogna pertanto disporre di strumenti capaci di individuare comportamenti anomali, per poterli analizzarli in relazione ai rischi che potrebbero compromettere la sicurezza informatica», afferma Danieli.
L’importanza del risk assessment
La NIS 2 richiede pertanto di partire da un’analisi dei rischi che includa i sistemi di controllo accessi e la sicurezza integrata delle infrastrutture IT, attraverso un risk assessment che valuti vulnerabilità e minacce. «Se, per esempio, si adotta l’autenticazione multi-fattore integrata con i sistemi di identificazione aziendali, gli applicativi devono essere accessibili solo alle persone autorizzate e progettati secondo il principio della separation of duties: chi configura un sistema non deve essere la stessa persona che lo utilizza o ne verifica i dati», spiega Danieli. In questo modo è possibile separare chiaramente le funzioni di configurazione, gestione e controllo, riducendo i rischi di errore e possibili abusi.
Anche gli apparati installati si appoggiano all’infrastruttura di rete esistente e questo comporta nuove esigenze di protezione. Non tutti devono poter accedere al dispositivo di controllo, prenderne il comando, aprire varchi o inserire istruzioni non autorizzate. Per questo motivo è indispensabile che le comunicazioni tra apparati siano sempre autenticate e cifrate tramite l’utilizzo di standard riconosciuti.
Il principio vale in ogni passaggio: il controllore deve dialogare in modo sicuro con i server o servizi che lo gestiscono, la testa di lettura deve comunicare con il controllore attraverso canali protetti e persino il badge – la credenziale mobile – deve interagire con il lettore in modalità autenticata e cifrata. Diversamente si creano vulnerabilità, come gli attacchi man in the middle, in cui un soggetto esterno intercetta e manipola i dati in transito.
Alla base rimane un fondamento della sicurezza, sia logica che cyber sia fisica: l’identificazione certa e univoca del soggetto. Chi si presenta davanti a un varco deve essere riconosciuto in modo sicuro e inequivocabile per consentire al sistema di concederne l’accesso in modo altrettanto sicuro.
Soluzioni snelle e scalabili
Digitronica.IT offre sistemi di autenticazione univoca, dal riconoscimento biometrico alle password, in un approccio che integra sicurezza fisica e logica. Le soluzioni, conformi agli standard ISO 27000 e dotate di log e audit in tempo reale, rispondono ai requisiti della NIS2, che deve essere vista come un’opportunità per rafforzare la protezione delle aziende.
«Le grandi organizzazioni si stanno adeguando rapidamente, mentre PMI e settore pubblico procedono con maggiore lentezza. Per le prime proponiamo soluzioni corporate complete; per le seconde, in particolare per le PMI, soluzioni cloud snelle e scalabili. Nell’era della NIS2, infatti, la vera sfida non è il costo della tecnologia, ma la capacità di valutare e governare correttamente i rischi», conclude Danieli.