Come le soluzioni di Synology aiutano a rispettare la direttiva NIS2

La nuova direttiva europea NIS2 (acronimo che sta per "Network and Information Systems Directive 2") cambia le regole del gioco quando si parla di protezione dei dati e responsabilità in merito delle aziende e delle loro dirigenze. Uno degli aspetti in particolare su cui si concentra la direttiva, che è stata approvata nel 2023 dal Parlamento e dal Consiglio d'Europa, è quello della necessità di garantire la continuità di business e di avere un piano di disaster recovery in caso di attacchi. È proprio su questo punto che le soluzioni di backup, come quelle offerte da Synology, diventano fondamentali e possono fare la differenza.

Cosa comporta la direttiva NIS2 in termini di protezione dei dati?

È un fatto assodato e noto a tutti che avere una solida strategia di backup è fondamentale per fronteggiare le sfide sempre più pressanti che i cybercriminali mettono di fronte alle aziende. Per questo sono emerse diverse modalità, che vanno dal "classico" 3-2-1 (tre backup, su due medium diversi, uno dei quali in una sede differente) fino a forme più evolute come 3-2-1-1-0 (che alle tre precedenti aggiunge: almeno una copia offline e verifica che ci siano zero errori nella verifica dei backup), passando per tecnologie come le cartelle WORM (Write Once, Read Many: cartelle che diventano di sola lettura dopo la scrittura iniziale) e i backup immutabili.

Con l'introduzione della direttiva NIS2, tuttavia, sono state ampliate significativamente le realtà che devono sottostare a protocolli più rigidi per la salvaguardia dei dati e sono state introdotte nuove responsabilità per la dirigenza.

Facciamo però un passo indietro: si parla di "direttiva" perché NIS2 è una legge che dev'essere trasposta a livello nazionale da ciascun Paese membro; ciò significa che, contrariamente al GDPR che è un regolamento ed è valido in tutti gli Stati europei, possono esserci piccole differenze tra un Paese e un altro, perché la direttiva lascia aperta la porta a interpretazioni locali. Ciò significa che le aziende dovranno preoccuparsi di ottemperare alle normative locali quando queste diventeranno effettive, ovvero dopo l'entrata in vigore delle leggi approvate dai vari Parlamenti nazionali.

La direttiva si applica a due tipi di aziende: quelle considerate "essenziali" e quelle considerate "importanti". Nel primo gruppo rientrano settori come l'energia, la sanità e le infrastrutture digitali; nel secondo gruppo invece rientrano le aziende che producono alimentari, i servizi postali e la gestione dei rifiuti. La direttiva si applica anche alle aziende che non hanno sede in Europa, ma che vi operano e rientrano in una delle categorie.

Tornando al tema della responsabilità dei dirigenti, una delle novità di NIS2 è il fatto che la cybersicurezza diventa una responsabilità non solo di chi gestisce l'infrastruttura tecnologica in azienda, ma anche dell'amministratore delegato e degli altri dirigenti. Nelle intenzioni del legislatore, ciò porta a una maggiore attenzione da parte loro verso questo tema, spesso sottovalutato o non del tutto compreso, perché c'è ora una responsabilità diretta.

Il secondo tema importante è quello della continuità di business e della necessità di avere un piano di disaster recovery: NIS2 prevede infatti che le aziende abbiano sistemi di backup robusti che garantiscano la continuità di business. Ciò è comprensibile: troppo spesso abbiamo visto come servizi fondamentali, come quelli offerti dagli ospedali, dai trasporti pubblici o da altri enti pubblici, sono stati interrotti per via di cyberattacchi che hanno bloccato i sistemi informatici. La direttiva punta dunque a evitare che servizi e sistemi essenziali smettano di funzionare per via di approcci ai backup inadeguati.

Come Synology può aiutare a rispettare la direttiva NIS2

I backup sono dunque una componente chiave del rispetto della direttiva NIS2. Synology offre da tempo molte soluzioni per gestire il backup, con un ecosistema completo di hardware e software per offrire un elevato livello di sicurezza.

Active Backup for Business è la soluzione che consente di effettuare il backup delle macchine virtuali dai server con VMware ESXi e Microsoft Hyper-V, nonché dei server fisici con Windows Server e Linux: è possibile effettuare backup incrementali, con un sistema di deduplicazione dei dati che consente di risparmiare spazio, e con la verifica che i backup funzionino grazie alla possibilità di eseguire delle macchine virtuali direttamente sul NAS a partire dall'immagine di backup. Nel caso del backup di macchine virtuali su Hyper-V ed ESXi, poi, il sistema è application aware, ovverosia è in grado di comunicare con le applicazioni (come Microsoft Exchange, Active Directory, SQL Server e Share Point) per effettuare il backup quando non sono in corso transazioni.

La suite Active Backup include poi anche delle applicazioni per salvare i dati presenti in Microsoft 365 e in Google Workspace, così da far sì che tutti i dati, ovunque essi siano, siano protetti.

Per rispettare la regola 3-2-1, le applicazioni di backup consentono di salvare i dati non solo in locale sui NAS, ma anche sul cloud: sono supportati Synology C2 (il cloud storage della stessa Synology), AWS e Azure. L'applicazione Hyper Backup è specificamente pensata per copiare i dati da un NAS Synology a un altro, così da poterli tenere in un'altra sede in maniera facile (la componente "1" della regola 3-2-1).

Non solo: Synology ha presentato la nuova serie ActiveProtect che è specificamente pensata per semplificare e automatizzare il processo di backup e di verifica, così da ridurre ulteriormente il carico di lavoro per l'IT. Le nuove soluzioni includono diversi server che rispondono a esigenze diverse in termini di spazio a disposizione.

Un aspetto da non sottovalutare è quello del costo: le soluzioni software Synology sono tutte gratuite, perché incluse nel prezzo dei NAS. Non ci sono dunque, come nella stragrande maggioranza delle soluzioni software per il backup, costi aggiuntivi da sostenere, spesso significativi. È sufficiente acquistare i NAS per poter proteggere la propria infrastruttura IT, senza doversi preoccupare di ulteriori licenze.

Le soluzioni di Synology, dunque, risultano molto interessanti per tutte le aziende che dovranno rispettare i requisiti della direttiva NIS2 perché semplificano le attività di backup mantenendo i costi sotto controllo - aspetto, quest'ultimo, che è di grande preoccupazione per la maggior parte delle aziende proprio per via degli investimenti ingenti che la nuova direttiva impone.