NIS2 ha alzato l’asticella della sicurezza informatica in Europa, e per una buona ragione. Le minacce sono più persistenti, più sofisticate e più dirompenti che mai e le autorità di regolamentazione stanno rispondendo richiedendo controlli di sicurezza più severi, responsabilità più chiare e una migliore visibilità sulle modalità di gestione del rischio da parte delle organizzazioni.

In risposta a ciò, molte organizzazioni hanno adottato misure note e sensate. Hanno investito in nuovi strumenti di sicurezza, rafforzato le difese tecniche, perfezionato le politiche e aumentato la segnalazione dei rischi ai dirigenti. Tutto ciò svolge un ruolo importante nel migliorare la sicurezza. Tuttavia, la storia dimostra che queste misure da sole non bastano.

Quando si verificano delle violazioni, raramente iniziano con un guasto alla tecnologia. Iniziano con una decisione umana, spesso presa in fretta, sotto pressione o senza un contesto sufficiente per riconoscere il rischio in quel momento. È qui che si determinerà il successo o il fallimento di NIS2.

NIS2 mette le persone al centro dell’attenzione

Una delle idee sbagliate più comuni sulla NIS2 è che si tratti di una normativa principalmente tecnica o informatica. Sebbene includa requisiti relativi ai sistemi, al monitoraggio, alla segnalazione di incidenti e alla sicurezza della catena di approvvigionamento, la sua portata è molto più ampia.

Il NIS2 pone una chiara enfasi sulla gestione del rischio, sulla governance e sulla resilienza organizzativa. Si aspetta che le organizzazioni capiscano dove si trovano i loro rischi reali, come questi si evolvono nel tempo e se i controlli in atto sono realmente efficaci nel ridurli. L’efficacia non si misura in base al numero di strumenti utilizzati o alla completezza di una libreria di politiche sulla carta, ma in base alla gestione dei rischi nella pratica.

La responsabilità viene inoltre spinta con decisione verso l’alto. L’alta dirigenza è tenuta ad approvare le misure di gestione del rischio e a controllarne l’efficacia. In questo contesto, il comportamento umano diventa impossibile da ignorare. Le decisioni relative all’accesso, alla gestione delle credenziali, alla condivisione dei dati e alle reazioni sotto pressione influenzano direttamente la tenuta dei controlli quando vengono testati.

Il NIS2 non lo inquadra come una questione secondaria o secondaria. Tratta il comportamento umano come una componente fondamentale del rischio organizzativo.

La maggior parte delle violazioni inizia ancora con decisioni quotidiane

Nonostante gli anni di progressi nella tecnologia della sicurezza informatica, i percorsi più comuni di violazione rimangono straordinariamente costanti. Secondo l’ultimo Data Breach Investigations Report, circa il 60% delle violazioni coinvolge un elemento umano, tra cui phishing, credenziali compromesse ed errori di routine, evidenziando quanto il comportamento umano influisca ancora sul rischio.

Nello stesso rapporto, le credenziali rubate o utilizzate in modo improprio sono state il principale vettore di accesso iniziale in circa il 22% dei casi, mentre il phishing ha contribuito per circa il 15%. Queste cifre sottolineano come molti incidenti non inizino a causa di una falla negli strumenti di sicurezza, ma a causa di decisioni quotidiane prese quando le persone sono occupate, distratte o sotto pressione.

Queste situazioni non si verificano perché i dipendenti sono negligenti o malintenzionati. Si verificano perché le persone cercano di fare il proprio lavoro in ambienti in rapida evoluzione, dove la convenienza, l’urgenza e le priorità concorrenti spesso determinano il comportamento. Gli aggressori conoscono molto bene questa dinamica ed è per questo che l’ingegneria sociale continua a essere una tattica così efficace.

Secondo il Verizon Data Breach Investigations Report (DBIR), le tecniche di social engineering sono coinvolte in quasi tre quarti delle violazioni, il che le rende uno dei modi più efficaci per gli aggressori di ottenere l’accesso iniziale sfruttando il processo decisionale umano piuttosto che i difetti tecnici.

La tecnologia è progettata per processi definiti e input prevedibili, ma spesso presuppone che le persone si comportino in modo coerente, anche quando sono stanche, sotto pressione o lavorano con informazioni incomplete. Dal punto di vista del NIS2, questa lacuna è importante. Le autorità di regolamentazione non sono interessate solo all’esistenza dei controlli, ma anche alla loro capacità di resistere alle condizioni del mondo reale.

Se un controllo dipende da un comportamento perfetto in circostanze imperfette, rappresenta un rischio che deve essere compreso e gestito.

Perché la politica e la formazione annuale non sono all’altezza

La maggior parte delle organizzazioni può dimostrare di aver adottato politiche di sicurezza e che i dipendenti seguono regolarmente corsi di sensibilizzazione. Per molto tempo, questo è stato considerato come una ragionevole prova di diligenza.

Con il NIS2, questa ipotesi diventa più difficile da difendere.

Le politiche descrivono come dovrebbero funzionare le cose e la formazione annuale spiega il comportamento atteso in teoria. Quello che non mostrano è come le persone reagiscono effettivamente di fronte a scenari realistici che rispecchiano le pressioni del loro ruolo quotidiano.

Dal punto di vista normativo, questo crea un vuoto di visibilità. I tassi di completamento e i riconoscimenti delle politiche dimostrano l’attività, ma non l’efficacia.

Dal momento che la NIS2 promuove un approccio alla conformità maggiormente basato sul rischio e incentrato sui risultati, le organizzazioni dovranno dimostrare che i loro programmi di sensibilizzazione influenzano il comportamento in modo misurabile.

Le prove comportamentali contano più delle presenze

Uno dei cambiamenti più significativi introdotti dal NIS2 è l’attenzione alla gestione continua del rischio piuttosto che alla conformità puntuale.

Quando si tratta di rischio umano, ciò significa essere in grado di rispondere a domande pratiche:

  • Dove i dipendenti fanno più fatica?
  • Quali sono i comportamenti che introducono i maggiori livelli di rischio?
  • Come varia il rischio a seconda dei ruoli, dei team o delle sedi?
  • Quali prove esistono per dimostrare che gli interventi di apprendimento hanno effettivamente un impatto?

Le prove comportamentali aiutano a rispondere a queste domande. I dati sul coinvolgimento, le risposte a scenari realistici e gli schemi decisionali forniscono una visione preziosa di come le persone si comportano quando si trovano di fronte a situazioni importanti.

Le metriche di frequenza e di completamento da sole non possono fornire questo livello di garanzia.

L’impegno non è una cosa bella da avere

L’impegno nella sensibilizzazione alla sicurezza è spesso discusso in termini di partecipazione o completamento, piuttosto che del suo impatto sul modo in cui le persone pensano e agiscono di fronte ai rischi.

Se i dipendenti sono disimpegnati, è molto meno probabile che assorbano le indicazioni, riconoscano i segnali di pericolo o applichino l’apprendimento quando è più importante. Dal punto di vista del NIS2, questo non è un problema di progettazione dell’apprendimento, ma di gestione del rischio.

I contenuti interattivi e basati su scenari giocano un ruolo prezioso in questo caso perché riflettono il modo in cui le persone imparano meglio.

Questo approccio si allinea strettamente alle aspettative normative in materia di efficacia e miglioramento continuo.

La tecnologia sostiene la resilienza, le persone la determinano

I controlli tecnici forti restano essenziali. I firewall, gli strumenti di monitoraggio, i sistemi di identità e le capacità di rilevamento svolgono tutti un ruolo fondamentale.

La NIS2 richiede anche una chiara comprensione del modo in cui questi controlli interagiscono con il comportamento umano.

Le organizzazioni che affrontano il NIS2 solo come un progetto tecnologico rischiano di non cogliere questo aspetto.

Costruire un allineamento NIS2 difendibile

Con l’avvicinarsi dell’applicazione del NIS2, alle organizzazioni verrà chiesto sempre più spesso di dimostrare come gestiscono il rischio nella pratica.

Un allineamento difendibile si basa su prove.

Perché alla fine la conformità NIS2 non fallirà perché manca uno strumento. Fallirà quando il comportamento umano verrà trattato come un ripensamento piuttosto che come una parte fondamentale della gestione del rischio.

Lavorare con MetaCompliance

Per soddisfare le aspettative del NIS2 non basta dimostrare che la formazione è stata erogata.

MetaCompliance aiuta le organizzazioni ad adottare un approccio pratico e difendibile alla gestione del rischio umano.

Abbiamo identificato i contenuti didattici rilevanti che possono essere utilizzati per supportare i requisiti di formazione NIS2.

In combinazione con l’approccio di apprendimento basato sul rischio di MetaCompliance, le organizzazioni ottengono visibilità sul comportamento effettivo delle persone.

Dato che il NIS2 porta a una maggiore responsabilità e a un maggiore controllo, le organizzazioni che possono dimostrare chiaramente come preparano le persone si troveranno nella posizione migliore per soddisfare sia le aspettative normative che le minacce del mondo reale.

Contattaci oggi stesso per scoprire come MetaCompliance può supportare la tua strategia di formazione NIS2.

Domande frequenti sulla conformità NIS2

Che cos'è la conformità NIS2?

La conformità NIS2 si riferisce al rispetto dei requisiti della Direttiva NIS2 dell’UE, che rafforza la sicurezza informatica, la gestione del rischio e la responsabilità per le organizzazioni essenziali e importanti in tutta Europa.