Il panorama della cybersecurity in Europa sta attraversando una fase di profondo cambiamento. Le normative NIS2 e DORA, recentemente approvate dall’Unione Europea, alzano il livello di guardia per aziende e infrastrutture critiche. Sono migliaia le aziende che devono adeguarsi a nuovi livelli di sicurezza, mai affrontati prima, e farlo in tempi stretti. Ma cosa cambia, davvero, per chi lavora con architetture Cloud Native?
In SparkFabrik ci occupiamo quotidianamente di sicurezza applicata a contesti distribuiti, containerizzati e dinamici. Ecco perché vogliamo condividere una visione chiara, concreta e orientata all’azione su come affrontare questa nuova fase normativa.
L'Unione Europea ha intrapreso un percorso ambizioso per rafforzare la resilienza digitale del continente ed alzare l’asticella della cybersicurezza per tutti. La direttiva NIS2 (Network and Information Systems 2) ed il regolamento DORA (Digital Operational Resilience Act) sono al centro di questa strategia ed introducono nuovi e più rigorosi requisiti per organizzazioni di tutti i settori.
Per le aziende che hanno abbracciato i moderni approcci Cloud Native - caratterizzati da microservizi, container e orchestrazione distribuita - queste normative rappresentano una sfida significativa, ma anche una importante opportunità. È evidente infatti come la complessità intrinseca degli ambienti cloud distribuiti si scontri con la necessità di garantire visibilità, controllo e compliance continua, come è richiesto dalle nuove normative.
Come esperti in prima linea nel campo di queste architetture, in questo articolo analizziamo le principali caratteristiche di NIS2 e DORA e le loro implicazioni specifiche per le tecnologie Cloud Native. Risulterà in questo modo evidente l'importanza di selezionare partner tecnologici come SparkFabrik, già allineati ai nuovi requisiti normativi.
La direttiva NIS2 (UE 2022/2555) è un’evoluzione davvero sostanziale rispetto alla prima NIS, ed ha un obiettivo chiaro: rafforzare sicurezza e resilienza delle reti ed infrastrutture informative europee (l’acronimo “NIS” sta proprio per “Networks and Information Systems”).
Adottata il 14 dicembre 2022, è entrata pienamente in vigore nell'ottobre 2024 con il recepimento degli Stati membri nelle rispettive legislazioni nazionali. Anche in Italia è stata recepita entro i termini ed è ora in corso la prima fase attuativa, con la registrazione all’ACN (Agenzia per la Cybersicurezza Nazionale) e l’adozione delle prime misure. Insomma: non si può più procrastinare, è ora di adeguarsi.
Le novità principali?
Inoltre, la Commissione Europea punta a rendere più uniforme l’applicazione della nuova normativa tra tutti gli stati membri, tra cui vi sono differenze marcate, alzando complessivamente il livello per tutti.
Tutto questo comporta che moltissime organizzazioni dovranno adeguarsi a requisiti di cybersecurity mai affrontati prima, creando un'ondata di domanda di competenze specialistiche nel settore, in Italia ed in tutta Europa.
Come abbiamo detto, requisiti più stringenti, ma in cosa si concretizzano? Nel concreto, NIS2 richiede l'implementazione di diverse misure tecniche, operative e organizzative per gestire i rischi di sicurezza. Questo vengono specificate nell'Articolo 21 della direttiva ed includono:
Consigliamo caldamente di consultare il materiale ufficiale dell’ENISA (che è l’Agenzia dell'UE per la Cybersicurezza) per approfondire le singole novità ed i requisiti di alto livello della direttiva. Vedremo invece tra poco come queste misure generali si applicano in ambienti Cloud Native.
DORA (Digital Operational Resilience Act - Regolamento UE 2022/2554) è un regolamento complementare alla direttiva NIS2, focalizzato esclusivamente sul settore finanziario. È stato adottato insieme a nel 2022 ed è entrato in applicazione il 17 gennaio 2025. Importante: in quanto Regolamento UE non necessita di recepimento, è legge direttamente applicabile in tutti gli Stati membri.
DORA si applica a oltre 20 categorie di enti finanziari, tra cui banche, assicurazioni, sistemi di pagamento, enti pensionistici, gestori di cripto-asset.
Ma non solo, anche i fornitori tecnologici che supportano tali entità finanziarie (come ad esempio cloud provider e servizi di analisi dei dati) possono essere sottoposti a vigilanza, in applicazione del requisito di supply-chain security.
Il regolamento mira a creare un quadro armonizzato per la resilienza operativa digitale nel settore finanziario in tutti gli stati membri, riconoscendo la sua importanza cruciale per l'economia e la società europea.
Più nel dettaglio, DORA si articola in cinque “pilastri” o aree principali di intervento, come descritto dalla Commissione Europea:
Le architetture Cloud Native sono ormai il nuovo standard di riferimento per applicazioni moderne. Ma se da una parte la loro natura dinamica e distribuita offre agilità e scalabilità, dall’ altro lato della medaglia rende la compliance con NIS2 e DORA un esercizio complesso e sfidante.
Esaminiamo la caratteristiche del Cloud Native, nell’ottica delle loro implicazioni per la sicurezza.
Un’architettura a microservizi implica che ogni servizio è anche un potenziale punto di vulnerabilità. Non solo, anche i flussi di dati tra microservizi vanno monitorati, autenticati e protetti, con evidente aumento della complessità nell’inventario delle risorse.
L’uso di orchestratori per tali servizi, come Kubernetes, introduce sia livelli aggiuntivi di controllo, ma anche nuove criticità. Una corretta configurazione è complessa ma essenziale per la sicurezza, necessitando tra l’altro di monitoraggio continuo, policy enforcement automatizzato, API exposure e RBAC o altre best practices di gestione dei privilegi.
L’adozione dei container implica che ogni immagine possa contenere falle, così come i singoli componenti di base. Serve una pipeline CI/CD automatizzata in grado di effettuare:
La stessa adozione delle pratiche di CI/CD ha una duplice conseguenza: se da una parte lo sviluppo continuo permette di risolvere rapidamente le vulnerabilità rilevate, ogni modifica al codice può aprirne di nuove, creando nuove falle. I test di sicurezza automatizzati permettono di mitigare tali rischi.
L’Infrastructure as Code consente di gestire la configurazione dell’infrastruttura tramite codice e risolvere i problemi di scalabilità del passato. Tuttavia, in quanto codice tali configurazioni sono aperte a vulnerabilità. Inoltre, anche una semplice configurazione errata rischia di replicarsi su larga scala, aspetto ancora più critico nel caso di un’infrastruttura mutabile (vs immutabile), che rende complesso tracciare le variazioni. Allo stesso tempo, le infrastrutture moderne sono spesso caratterizzate da ambienti multi-cloud o ibridi, con conseguenti framework di sicurezza eterogenei e complessità.
In questo contesto, emerge la necessità di una visione unificata ed omogenea della sicurezza, analizzando anche del codice infrastrutturale ed adottando requisiti di sicurezza “shift-left”, che prevedono test di sicurezza fin alle prime fasi di vita di un’applicazione.
Come abbiamo visto ad alto livello, le nuove normative europee sulla cybersicurezza prevedono diverse misure tecniche, operative ed organizzative. Sulla base di tali requisiti, abbiamo identificato nell’approccio Cloud Native alcuni gap principali in termini di sicurezza. Ci teniamo quindi evidenziarli come riferimento per tutte le organizzazioni Cloud Native, condividendo anche il nostro Compendium, una guida completa per NIS2 e DORA in ambienti Cloud Native.
NIS2 e DORA richiedono una conoscenza completa di tutte le risorse digitali dell’organizzazione. Questo è un requisito particolarmente sfidante negli ambienti Cloud Native dove i componenti sono effimeri e dinamici. Le organizzazioni devono adoperarsi per implementare:
In architetture composte da numerosi microservizi containerizzati, la gestione tradizionale delle vulnerabilità è davvero insufficiente. È necessario adottare:
La presenza e la dipendenza da numerosi componenti, siano essi open-source o commerciali, incrementa i rischi legati alla supply chain. E, come abbiamo visto, la sicurezza di queste “catene di approvvigionamento digitali” è un aspetto centrale sia in NIS2 che in DORA.
Infatti, le nuove normative estendono il concetto di gestione del rischio e di valutazione delle vulnerabilità anche ai fornitori, e quindi imponendo dei requisiti minimi di sicurezza non solo alla singola organizzazione, ma alla filiera. Per questo obiettivo, le organizzazioni devono considerare:
Per approfondire questo tema, consigliamo la lettura del nostro articolo dedicato alla Software Supply Chain.
Entrambe le normative richiedono requisiti di rilevamento e notifica degli incidenti. È quindi importante dotarsi di sistemi e pratiche non solo per rilevare, ma anche per documentare gli incidenti. Questo facilita anche la relazione obbligatoria post-incidente, compresa la portata dei danni. In particolare le best practices per soddisfare questi requisiti sono:
Le normative richiedono robuste capacità di recupero e continuità operativa (in gergo, “resilienza informatica”), che nel contesto Cloud Native assumono caratteristiche particolari:
Per affrontare efficacemente le sfide poste da NIS2 e DORA in contesti Cloud Native, l'approccio DevSecOps emerge come la soluzione più adeguata (ti invitiamo a leggere il nostro approfondimento), integrando sicurezza e compliance in ogni fase del ciclo di vita del software, sin dagli step iniziali.
In particolare, vi sono alcuni principi fondamentali del DevSecOps che si sposano perfettamente con la compliance normativa (principi che sono anche al centro delle pratiche e della cultura in SparkFabrik).
Consiste nell’integrazione dei controlli di sicurezza già nelle fasi iniziali del ciclo di sviluppo. Questo ha l’indubbio vantaggio di permettere di identificare e correggere problemi quando il costo di remediation è ancora basso, allineandosi con i requisiti di gestione proattiva del rischio previsti dalle normative. Attenzione che questo non esclude assolutamente anche l’approccio “shift-right”, che prevedere test e controlli, rigorosi e continui, anche in post-produzione. L’unione dei due approcci è sempre consigliata per i migliori risultati.
L'automazione è ormai imprescindibile per mantenere un adeguato livello di sicurezza in ambienti altamente dinamici ed effimeri come quelli Cloud Native, in particolare attraverso:
La gestione dell'infrastruttura come codice (IaC), versionato e sottoposto a controlli di qualità, supporta direttamente i requisiti previsti dalle normative di test e gestione delle configurazioni. Una configurazione di tipo immutabile, in particolare, diminuisce drasticamente il rischio di vulnerabilità a livello di infrastruttura.
Un sistema di monitoraggio completo, nonché soprattutto continuo grazie ad automazioni, consente di rilevare rapidamente comportamenti anomali e dimostrare la conformità durante gli audit. Grazie a tali sistemi, ogni rilevazione anomala porta ad interventi tempestivi e miglioramenti ciclici. Questi sono elementi essenziali per soddisfare i requisiti di incident management previsti dalle normative.
Per approfondire l'approccio DevSecOps, vi invitiamo a leggere il nostro articolo sul Cloud DevSecOps e sulla Container Security.
Affrontare da soli i requisiti di NIS2 e DORA è senza dubbi complesso. La conformità richiede competenze specialistiche che spesso le organizzazioni non possiedono internamente, anche perché moltissimi soggetti non hanno dovuto occuparsi di tali requisiti fino a questo momento.
La scelta di un partner tecnologico con esperienza specifica in ambito Cloud Native e cybersecurity, nonché già allineato alle due nuove normative europee, diventa quindi un fattore critico di successo. La scelta del partner dovrebbe basarsi su questi criteri:
In SparkFabrik siamo consapevoli dell'importanza di una solida postura di sicurezza, tanto che abbiamo intrapreso il percorso per ottenere la certificazione ISO/IEC 27001, lo standard internazionale per la gestione della sicurezza delle informazioni. Questo impegno non è solo un requisito formale, ma riflette la nostra convinzione che la sicurezza sia un elemento fondamentale dell'offerta di valore per i nostri clienti.
Con orgoglio, da sempre il nostro approccio è basato su enablement, non su enforcement. Vogliamo rendere i team autonomi e consapevoli, non dipendenti da soluzioni black box né tanto meno da lock-in di conoscenze. Questo vale non solo per la cybersecurity, ma trasversalmente per tutti i nostri servizi, e ci piace raccontarlo!
Il nostro approccio alla sicurezza e alla compliance si distingue per alcune caratteristiche fondamentali:
Non da ultimo, il nostro CTO, Paolo Mainardi, è un Champion della sicurezza che guida in prima persona il percorso di specializzazione in supply chain security e DevSecOps (un percorso continuo, che non finisce davvero mai).
Questi elementi permettono ai clienti di SparkFabrik di affrontare con maggiore serenità le sfide poste da NIS2 e DORA, potendo contare su un partner già allineato ai requisiti normativi.
Un piccolo esempio a riguardo: di recente, una serie di vulnerabilità sono state rilevate a livello globale (interessavano oltre il 40% degli ambienti) per cluster Kubernetes su cui è installato ingress-nginx, di cui una in particolare era considerata critica (9.8/10). Dopo solo alcuni minuti dalla notizia, il team di SparkFabrik si è attivato ed ha mitigato con successo le nuove vulnerabilità su tutti i cluster interessati. Insomma, un partner esperto e tempestivo fa la differenza.
Stiamo arrivando alla fine, e per concludere vogliamo stimolare ad una riflessione. Come abbiamo visto, l'entrata in vigore di NIS2 e DORA segna sicuramente un cambiamento significativo della cybersecurity europea. In generale, l’effetto finale sarà un importante aumento del livello di sicurezza in tutti i settori e tutti i Paesi - anche se sarà sempre necessaria una “rincorsa” per risolvere le vulnerabilità che continuano ad emergere nei nostri sistemi.
È evidente come le nuove normative abbiano un impatto significativo sulle organizzazioni Cloud Native. Come esperti di Cloud Native, ci piace vedere questo impatto non tanto come un obbligo da rispettare, quanto un’opportunità per:
Crediamo che la chiave del successo risieda nell'adozione di un approccio strategico alla cybersecurity. Chi inizia oggi, potrà domani dimostrare non solo di essere compliant, ma di avere costruito una cultura della sicurezza duratura.
Un tassello fondamentale di questa “strategia della sicurezza” è la scelta di partner tecnologici che abbiano già maturato esperienza in questo ambito. Come partner, SparkFabrik accompagna le organizzazioni in questo percorso, combinando expertise tecnica Cloud Native d’eccellenza con una profonda conoscenza dei requisiti normativi: una combinazione vincente per trasformare gli obblighi di compliance in opportunità di crescita e innovazione sicura.
Se la vostra organizzazione sta affrontando le sfide poste da NIS2 e DORA, vi invitiamo a:
Esplorate la nostra offerta Cloud Native con focus sulla sicurezza:
Oppure contattateci direttamente per una consulenza personalizzata su come affrontare le sfide di NIS2 e DORA nel vostro specifico contesto.
Nel prossimo articolo della serie analizzeremo strategie pratiche di implementazione delle normative NIS2 e DORA in ambienti Cloud Native, con focus su casi d'uso reali e soluzioni tecniche specifiche.