"I nostri dati sono nel cloud, quindi sono al sicuro." Questa frase, ripetuta con convinzione da molti imprenditori italiani, e pericolosamente sbagliata. Il cloud e sicuro? Si, l'infrastruttura lo e. Ma la responsabilita della configurazione, dei dati e degli accessi resta dell'azienda. E la NIS2 non fa eccezioni: che i tuoi dati siano su un server in cantina o su AWS a Francoforte, gli obblighi sono gli stessi.
Il modello di responsabilita condivisa (shared responsibility model) e il concetto chiave: il cloud provider protegge l'infrastruttura, tu proteggi i tuoi dati e le tue configurazioni. La maggior parte delle violazioni nel cloud non sono colpa del provider — sono errori di configurazione del cliente.
Il modello di responsabilita condivisa
| Aspetto | Responsabilita provider | Responsabilita cliente |
|---|---|---|
| Infrastruttura fisica | Si | No |
| Rete e virtualizzazione | Si | Parziale |
| Sistema operativo (IaaS) | No | Si |
| Configurazione sicurezza | No | Si |
| Dati e cifratura | No | Si |
| Gestione identita e accessi | Strumenti forniti | Configurazione e gestione |
| Compliance normativa | Certificazioni infrastruttura | Compliance applicativa |
Gli errori di configurazione piu pericolosi
- Storage pubblico — bucket S3 o blob Azure aperti a internet con dati sensibili
- Credenziali hardcoded — chiavi API o password nel codice sorgente
- Nessun MFA sugli account admin — l'accesso alla console cloud senza MFA e un rischio critico
- Logging disabilitato — senza CloudTrail (AWS) o Activity Log (Azure) non rilevi le intrusioni
- Security group troppo permissivi — porte aperte a 0.0.0.0/0 che espongono servizi inutilmente
- Nessuna cifratura — dati at rest e in transit non cifrati
Cloud Security Posture Management (CSPM)
I tool di CSPM scansionano automaticamente la configurazione cloud alla ricerca di errori e violazioni delle best practice. Microsoft Defender for Cloud, AWS Security Hub, Google Security Command Center sono le soluzioni native dei rispettivi provider. Per ambienti multi-cloud, Prisma Cloud (Palo Alto), Orca Security e Wiz sono le alternative indipendenti piu apprezzate.
Cloud e NIS2: i requisiti specifici
La NIS2 classifica i provider cloud come soggetti essenziali (se di grandi dimensioni) o importanti. Ma la responsabilita del cliente non cambia: devi garantire la sicurezza dei tuoi dati e delle tue applicazioni nel cloud. In caso di ispezione ACN, dovrai dimostrare di aver implementato controlli adeguati: gestione degli accessi, cifratura, monitoraggio, backup, incident response. "Lo fa il cloud provider" non e una risposta accettabile.
Scelta del cloud provider: criteri NIS2
Nella scelta del cloud provider, valuta: la localizzazione dei data center (preferibilmente nell'UE per questioni GDPR), le certificazioni (ISO 27001, SOC 2, C5), la trasparenza sulla sicurezza, il supporto per la compliance NIS2, le opzioni di cifratura e gestione delle chiavi, la capacita di esportare i dati in caso di cambio provider.