Con un tasso di crescita annuale composto del 17,75% entro il 2030 e un mercato che si prevede raggiungerà i 99 miliardi di dollari, il cloud sovrano è destinato a plasmare il futuro del cloud. Le ragioni sono molteplici.
La prima è la compliance: molti Paesi hanno adottato leggi sulla protezione dei dati — quali ad esempio la Direttiva NIS2 — che impongono l’archiviazione e l’elaborazione entro i confini nazionali. In questo caso, i cloud sovrani aiutano le organizzazioni a rispettare queste normative mantenendo il pieno controllo sui propri dati.
La sovranità digitale è un altro tema chiave. Le organizzazioni, specialmente quelle che operano nel settore della sanità pubblica e della ricerca, devono proteggere i propri dati sensibili da interferenze straniere e minacce informatiche. I cloud sovrani offrono un ambiente sicuro e localizzato per l’archiviazione e l’elaborazione dei dati, riducendo il rischio di violazione e garantendo al contempo che i dati siano salvati in prossimità dell’organizzazione cliente.
C’è inoltre una questione di autonomia digitale. Affidarsi a fornitori di cloud pubblici globali può creare dipendenze da aziende straniere, compromettendo potenzialmente gli interessi nazionali e l’autonomia digitale. I cloud sovrani consentono alle aziende sanitarie e ai laboratori di ricerca di assumere il controllo del proprio futuro digitale, senza legarsi a doppio filo a enti con interessi e obiettivi diversi dai propri.
Infine, il cloud sovrano viene preferito per ciò che offre in termini di resilienza. Grazie all’architettura distribuita, i cloud sovrani possono essere ottimizzati per la disaster recovery, garantendo che i dati sanitari rimangano accessibili e protetti nonostante i disastri naturali e i cyber attacchi — un requisito essenziale per healthcare & research labs.
La Direttiva NIS2
Adottata dall’Unione Europea a gennaio 2023, la Direttiva NIS2 è una regolamentazione europea nata con lo scopo di rafforzare la sovranità digitale degli stati membri, i quali avranno tempo fino al 17 ottobre 2024 per recepire la normativa nella loro legislazione nazionale. Dopo tale termine, la mancata compliance sarà punita con multe fino a 10 milioni di euro per aziende sanitarie e laboratori di ricerca del settore pubblico e privato.
La normativa distingue due categorie di organizzazioni: soggetti importanti (che includono servizi postali, gestione dei rifiuti, settore chimico, agroalimentare, servizi digitali, ecc.) e soggetti essenziali (pubbliche amministrazioni e operatori in settori come l’energia, la sanità, lo spazio, la finanza, i trasporti, le infrastrutture digitali e le acque). La Direttiva si applica anche alle organizzazioni che operano nei “settori ad alta criticità” dell’Unione e superano i limiti delle medie imprese.
La Direttiva NIS2 impone ai soggetti essenziali la sorveglianza, mentre per i soggetti importanti i controlli di conformità saranno invece applicati ex-post, ossia solo in caso ci siano prove di inadempienza.
Le sanzioni per non conformità variano: per i soggetti importanti, possono raggiungere 7 milioni di euro o l’1,4% del fatturato annuo globale (prevale l’importo più alto); per i soggetti essenziali, le multe possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale (anche qui prevale l’importo più alto).
Per conformarsi alla NIS2, chi opera nel settore sanitario deve identificare i servizi, processi e asset cruciali per l’erogazione dei servizi inclusi nella Direttiva e stabilire misure adeguate, tecniche e gestionali, per garantire la sicurezza dei sistemi e delle reti informatiche.
A differenza del GDPR, la NIS2 specifica con maggiore precisione che queste misure di sicurezza devono includere almeno:
- politiche di analisi dei rischi e di sicurezza dei sistemi informatici
- politiche e procedure relative all’uso della crittografia e della cifratura
- gestione degli incidenti
- continuità operativa e gestione delle crisi (backup e disaster recovery)
- sicurezza della catena di approvvigionamento
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità
- pratiche di igiene informatica di base e formazione in materia di cybersicurezza
- sicurezza delle risorse umane con strategie di controllo dell’accesso
- strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza
- uso di soluzioni di autenticazione a più fattori o autenticazione continua, di comunicazioni vocali, video e testuali protette.
Puoi scaricare gratuitamente la Guida alla Conformità a NIS2 redatta da Cubbit cliccando qui.
Cubbit: il cloud sovrano made in Italy
Cubbit è il primo cloud geo-distribuito d’Europa. Fondata a Bologna nel 2016, l’azienda conta oltre 300 organizzazioni clienti in tutto il continente, tra cui il colosso della cybersecurity francese Exclusive Networks, Leonardo, leader globale di aerospazio, difesa e sicurezza con oltre 14 miliardi di euro di fatturato, e molteplici ASL e ospedali italiani.
Diversamente dai cloud tradizionali, che salvano i dati in pochi data center vulnerabili (e spesso oltreoceano), Cubbit cifra, frammenta e replica i dati su una vasta rete di nodi distribuiti sul territorio nazionale. Nessun dato viene conservato integralmente in un unico luogo. Al contrario, ogni nodo ospita frammenti criptati di dati provenienti da diversi utenti. Di conseguenza, anche se un cyber criminale riuscisse ad accedere fisicamente a un nodo, si troverebbe di fronte a un puzzle indecifrabile.
Inoltre, grazie alla geo-distribuzione, il sistema è indipendente dai singoli nodi. Se un nodo dovesse andare offline, non ci sarebbero ripercussioni sul sistema poiché i dati criptati verrebbero automaticamente redistribuiti su altri nodi, senza che Cubbit abbia mai accesso ai dati degli utenti.
Grazie a queste caratteristiche, Cubbit può vantare un livello di durabilità dei dati notevolmente superiore rispetto agli standard di mercato. Mentre i servizi di cloud storage tradizionali offrono una durabilità dei dati fino a 11 9, corrispondenti a una probabilità di perdita di dati di 1 su 100 miliardi, Cubbit garantisce una durabilità dei dati fino a 15 9, pari a un rischio di 1 su 1 milione di miliardi — un miglioramento della sicurezza di diecimila volte rispetto al cloud tradizionale.
Per proteggere i dati dagli attacchi ransomware e cyber, Cubbit implementa due funzionalità fondamentali del protocollo S3: il versioning e l’object lock. Il versioning permette di conservare diverse versioni dello stesso file, non solo l’ultima versione disponibile. Questa funzione consente all’utente di recuperare una versione precedente del file in caso di attacco ransomware, evitando così di dover pagare il riscatto.
L’object lock, invece, funge da blocco per il file. Grazie all’object lock, l’utente può bloccare un file, rendendolo inalterabile per un periodo di tempo prestabilito. Durante questo periodo, nessuna modifica o cancellazione del file è possibile, sia essa dovuta a un attacco ransomware o a un errore umano, quest’ultimo responsabile di più del 90% degli incidenti di sicurezza.
Perché Cubbit è la soluzione ideale per la compliance in cloud
Cubbit non si limita a garantire la sicurezza dei dati. La sua innovativa architettura geo-distribuita rappresenta un passo avanti significativo in termini di sovranità digitale. Attraverso il geofencing, una funzionalità distintiva di Cubbit, l’utente ha la possibilità di definire l’area geografica in cui i suoi dati vengono conservati. Questo permette a Cubbit di garantire la data localization e di assistere le aziende sanitarie e i laboratori di ricerca nel rispetto delle normative sulla sovranità digitale, come il GDPR e il NIS2, in maniera semplice ed efficiente.
Cubbit dimostra il suo impegno in questo ambito sottoponendosi a controlli periodici da parte di enti internazionali e ha conseguito le certificazioni ISO 9001:2015 per la qualità dei suoi sistemi di gestione, ISO/IEC 27001:2013 per la gestione efficace della sicurezza delle informazioni, ISO/IEC 27017:2015 per la sicurezza nei servizi cloud, e ISO/IEC 27018:2019 per la protezione della privacy e dei dati personali nel cloud.
Inoltre, Cubbit ha ricevuto la qualifica ACN (ex AgID) ed è registrata sulla piattaforma MePa (Mercato Elettronico della Pubblica Amministrazione).
Un altro punto di forza di Cubbit è la sua compatibilità con S3, che la rende al 100% compatibile con qualsiasi applicazione S3 disponibile sul mercato, come Veeam, Nakivo, Commvault e molte altre. Questo significa che l’utente non dovrà affrontare interruzioni nel suo flusso di lavoro o imparare configurazioni del client complesse.
Cubbit si distingue anche per la sua convenienza economica. Non avendo data center, Cubbit elimina i costi associati all’alimentazione e al raffreddamento, un risparmio che viene trasferito agli utenti: con Cubbit, infatti, non ci sono costi per la cancellazione dei dati, il loro trasferimento o per la ridondanza.
Il 18 ottobre 2024 entrerà in vigore la NIS2, e con essa le sanzioni per mancata conformità, che possono arrivare fino a 10 milioni di euro. La tua azienda è in regola con la NIS2? Scopri come ottenere la conformità ed evitare pesanti sanzioni.
Scarica gratuitamente la guida alla conformità con la NIS2 redatta da Cubbit.
NOTE
1 HCLTech