NIS2, CRA e AI – le nuove regole della cybersecurity
Introduction
Alexander Sommer, CEO di SecureSafe (DSwiss AG), è stato recentemente intervistato da IT Business (it-business.de), una delle principali pubblicazioni tedesche per i decisori IT. Nell'intervista, condotta dal redattore Dr. Stefan Riedl, Sommer condivide la sua prospettiva su cosa sia necessario per affrontare le attuali pressioni convergenti della regolamentazione e delle minacce informatiche basate sull'IA, e cosa le organizzazioni devono fare subito per rimanere all'avanguardia.
Key Takeaways
- Smettete di acquistare strumenti. Recuperate chiarezza su ciò che operate effettivamente e dove si trovano i rischi reali.
- Tre priorità: inventario degli asset accurato, igiene delle identità e dei permessi, risposta agli incidenti testata.
- I regolatori stanno sanzionando una buona documentazione con una scarsa esecuzione. Ciò che conta è la prova operativa.
- L'IA rende gli attacchi esistenti più veloci ed economici, non categoricamente nuovi. Deepfake, spear phishing e furto di sessione sono le minacce attuali.
- Rafforzate prima l'identità. L'MFA resistente al phishing e i diritti di amministratore minimi bloccano i percorsi di attacco più facili.
- La sovranità digitale significa sapere dove si trovano i vostri dati ed essere in grado di spostarli o isolarli rapidamente.
- Usate la pressione della conformità per semplificare l'architettura, non solo per spuntare caselle.
- Assegnate la responsabilità decisionale, non la proprietà delle policy. Il comando degli incidenti deve essere praticato prima che si verifichi una crisi.
Chiarezza e controllo sui nuovi strumenti
Con NIS2 e il Cyber Resilience Act (CRA) ora saldamente all'ordine del giorno, Sommer sostiene che il 2026 dovrebbe riguardare meno l'acquisto di nuovi strumenti e più il recupero di chiarezza e controllo. La maggior parte dei panorami IT è cresciuta organicamente nel tempo – accumulando servizi cloud, eccezioni e account amministratore ombra – lasciando i sistemi ottimizzati per la velocità, ma fragili sotto stress. Il suo punto di partenza: un inventario onesto di ciò che si opera effettivamente, di ciò che è veramente critico e di dove risiedono i rischi reali.
Tre priorità concrete per il 2026
Da qui, Sommer delinea tre aree di attenzione immediate: un inventario degli asset e dei dati aggiornato e realistico; una pulizia delle identità e dei permessi per ridurre i percorsi di attacco più comunemente sfruttati; e una capacità di preparazione agli incidenti che funzioni nella pratica, con logging utilizzabile, percorsi di escalation chiari e procedure di recupero testate. Il suo messaggio è chiaro: i regolatori stanno sempre più penalizzando una buona documentazione abbinata a una debole esecuzione. Ciò che conta sono le capacità operative dimostrabili.
L'IA come fattore di svolta nella cybersecurity
Sommer dedica un'attenzione significativa al ruolo dell'IA nel panorama delle minacce. L'IA non crea categorie di crimini informatici completamente nuove, ma rende gli attacchi esistenti più veloci, più economici e molto più convincenti. I modelli attuali più pericolosi includono frodi assistite da deepfake, spear phishing generato dall'IA combinato con la "MFA fatigue" (stanchezza da autenticazione a più fattori) e il furto di token o sessioni che bypassa il rilevamento tradizionale di malware. La contromisura più efficace, a suo avviso, è concentrarsi su ciò che l'IA amplifica maggiormente: identità, fiducia e privilegi. Rafforzare le identità tramite MFA resistente al phishing, regole di accesso condizionale robuste e diritti amministrativi permanenti minimi elimina il percorso più facile per gli attacchi basati sull'IA per prendere piede.
La sovranità digitale come disciplina operativa
Un tema ricorrente in tutta l'intervista è la sovranità digitale, che Sommer definisce non come una preferenza per i fornitori locali, ma come la capacità di decidere e ripristinare quando è importante. Potete rispondere, con sicurezza, dove si trovano i vostri dati sensibili, chi vi ha accesso e quanto velocemente potete spostarli o isolarli? Se no, la dipendenza ha silenziosamente sostituito il controllo. Sommer vede l'attuale momento di conformità come un'opportunità: usare la pressione normativa come leva per semplificare le architetture, standardizzare le interfacce e progettare sistemi con componenti sostituibili, trasformando la conformità da centro di costo a risorsa strategica.
Governance: dalla responsabilità delle politiche alla responsabilità delle decisioni
Infine, Sommer sottolinea la necessità di un cambiamento nella governance della sicurezza: allontanarsi dalla proprietà delle politiche e andare verso una chiara responsabilità decisionale. Chi decide? Chi è responsabile? Chi comunica? Chi agisce? Queste domande devono trovare risposta sia a livello di consiglio di amministrazione che nelle operazioni quotidiane. La preparazione agli incidenti, ad esempio, non può essere progettata durante una crisi. Richiede criteri di classificazione predefiniti, un percorso di escalation che funzioni entro poche ore e una struttura di comando degli incidenti collaudata che riunisca IT, sicurezza, legale e comunicazioni.
👉 Leggi l'articolo completo su IT Business:
https://www.it-business.de/nis2-und-cra-in-zeiten-von-ki-es-wird-ernst-a-0656f50b91e229cc71487436f25e45b2/
Pubblicato su: it-business.de
Autore: Dr. Stefan Riedl
Conclusion
Le regole della cybersecurity non stanno cambiando radicalmente, ma il costo di sbagliare sì. Ciò che NIS2, il CRA e le minacce guidate dall'IA richiedono collettivamente è disciplina operativa: sapere cosa si gestisce, controllare chi ha accesso ed essere pronti ad agire prima che una crisi costringa la mano. La conformità è il minimo indispensabile, non il traguardo. Le organizzazioni che tratteranno questo momento come un'opportunità per semplificare e rafforzare ne usciranno vincitrici. Quelle che lo tratteranno come un mero esercizio di documentazione, no.
