La Direttiva NIS 2 è ormai in vigore e l’iter di recepimento è avviato in tutti gli Stati dell’Unione Europea. Le nuove regole rafforzano gli obblighi di sicurezza informatica e di resilienza per un ampio spettro di organizzazioni, con impatti evidenti anche per le aziende che adottano il cloud come principale driver di trasformazione digitale.
NIS 2 non impone l’uso del private cloud o la localizzazione dei dati. L’obiettivo del legislatore è responsabilizzare le imprese rispetto ai rischi cyber e far sì che queste adottino tutte le misure tecniche e organizzative necessarie per mitigarlo efficacemente. In termini pratici, questo significa dover implementare controlli avanzati di accesso e autenticazione, fare assessment regolari, introdurre sistemi di rilevamento e risposta agli incidenti, piani di continuità operativa e di disaster recovery, nonché processi strutturati di gestione dei fornitori.
Ciò premesso, le aziende raramente scelgono tra cloud pubblico e cloud privato. Quelle di una certa dimensione, in particolare, adottano spesso architetture ibride e multicloud proprio per coniugare la flessibilità e la scalabilità dell’infrastruttura distribuita (e multi-tenant) dei grandi hyperscaler con il maggiore controllo del dato garantito dalla componente privata (locale), che può essere gestita in-house oppure hosted presso un provider di fiducia. Il private cloud viene spesso dedicato ai processi mission-critical proprio per un livello maggiore di controllo, per prestazioni potenzialmente superiori (es, in termini di latenza) e per una più semplice dimostrazione della conformità rispetto a molteplici normative, NIS 2 inclusa.
Quando il private cloud è il cuore dell’infrastruttura IT, la conformità alla NIS 2 può seguire due strade differenti a seconda del modello di deployment.
Se l'ambiente è in-house (on-premises), l'organizzazione assume la piena responsabilità dell'implementazione delle misure di gestione del rischio previste dalla direttiva europea. Questo comporta il massimo livello di controllo, ma anche l'onere di coordinare tutti gli aspetti, dalla progettazione dell'architettura di sicurezza alla gestione operativa quotidiana, fino all'implementazione di sistemi di monitoraggio e di detection.
Nel caso di private cloud hosted presso un provider di fiducia, il primo step consiste nel selezionare un provider che non solo dichiari la propria conformità a NIS 2, ma che lo possa dimostrare attraverso certificazioni e documentazione tecnica dettagliata. Il provider, in quanto soggetto in perimetro NIS 2, deve offrire garanzie organizzative e tecniche proporzionate ai rischi del settore, includendo misure di sicurezza fisica dei datacenter, controlli di accesso granulari, sistemi di backup e disaster recovery conformi, e procedure documentate per la gestione degli incidenti. Ovviamente, seguendo il solito modello di responsabilità condivisa, resta in carico all’azienda la sicurezza del suo ambiente e dei suoi dati all'interno del private cloud, ma il provider può mettere a disposizione strumenti e servizi (es, soluzioni di Disaster Recovery, servizi SOC) per agevolare la compliance.
In entrambi gli scenari, alcune aree di intervento sono decisive per soddisfare i requisiti della normativa europea.
La gestione del rischio richiede un approccio che vada oltre la semplice identificazione delle vulnerabilità. L'organizzazione deve implementare una metodologia di risk assessment che consideri sia i rischi tecnici che quelli organizzativi e valuti accuratamente gli asset critici, le potenziali minacce e l'impatto sui servizi essenziali.
Nel contesto di un private cloud locale, questo si ottiene implementando framework consolidati come ISO 27005 o NIST e adattandoli alle specificità dell'infrastruttura proprietaria. La valutazione dovrebbe essere dinamica e continua, supportata da strumenti di vulnerability assessment automatizzati e penetration test periodici. Inoltre, è determinante stabilire metriche quantificabili per misurare l'efficacia delle misure implementate, definendo soglie di rischio accettabili e procedure di escalation.
Tra tutti i macro-processi della cybersecurity, quello su cui le aziende (anche di dimensioni importanti) sono più carenti è la gestione degli incidenti. Non a caso, NIS 2 pone l’accento su questa area dettando tempi di reazione stringenti: notifica preliminare entro 24 ore, rapporto intermedio entro 72 e report finale entro un mese. Per rispettarli, è necessario dotarsi di procedure chiare, team preparati e strumenti in grado di rilevare gli incidenti in tempo reale.
Un private cloud può avvalersi di servizi managed come quelli offerti dai Security Operations Center (SOC) con capacità di detection 24/7 e risposta in linea con i termini di legge. Per essere compliant, il processo di incident response può rifarsi alle best practice internazionali come NIST SP 800-61, che disciplina in modo dettagliato tutte le fasi del processo, dalle attività preparatorie a quelle post-incidente.
La resilienza operativa richiesta da NIS 2 abbraccia una visione olistica della continuità dei servizi critici (si parla di approccio multirischio). Per essere compliant, un private cloud deve quindi basarsi su architetture ridondanti sia a livello hardware che software, con sistemi di failover automatico e load balancing distribuito. Da notare che la normativa (Art. 21) cita espressamente il backup, il disaster recovery e le procedure di gestione delle crisi, rendendoli i pilastri di una strategia di continuità del business compliant.
Non riguarda in modo specifico il private cloud, ma merita comunque menzionare la formazione del personale come pilastro della conformità NIS 2. Un programma di security awareness deve essere strutturato, continuo e misurato attraverso metriche specifiche, nonché differenziarsi per ruoli e responsabilità. A tal fine, inoltre, le organizzazioni devono superare l'approccio tradizionale dei corsi frontali, implementando metodologie innovative che aumentino retention e engagement, come le simulazioni di phishing e il ricorso alla gamification.