Adempimento Requisiti Direttiva NIS 2

Consulenza per l'applicazione della Direttiva NIS 2
Le Direttive NIS e NIS 2 nascono per incentivare gli Stati dell’UE ad adottare strategie nazionali in materia di cybersecurity in risposta agli incidenti di sicurezza che colpiscono i servizi essenziali.

Se lavori su infrastrutture critiche, scopri i requisiti di conformità

La Direttiva NIS 2, con entrata in vigore prevista al 18 ottobre 2024 come evoluzione della Direttiva sulla Network and Information Security del 2018, suddivide i settori critici in due diverse categorie di rilevanza:

  • Settori essenziali, che comprendono le organizzazioni che superano per dimensione la media impresa e forniscono servizi nei settori indicati nell’Allegato I ossia energia (elettrica, petrolio, gas), trasporto (aereo, ferroviario, via acqua, via strada), settore sanitario, acqua potabile, acque reflue, Pubblica Amministrazione, spazio, infrastrutture digitali (fra cui servizi di cloud computing, DNS, servizi di content delivery network)
  • Settori importanti, medie imprese che forniscono servizi nei settori indicati nell’Allegato II, categoria che non era presente nella prima Direttiva e che si aggiunge agli obblighi di legge proprio in questa seconda revisione

 

Rientrano nei servizi essenziali:

  • Energia (elettrica, petrolio, gas)
  • Trasporto (aereo, ferroviario, via acqua, via strada)
  • Settore sanitario
  • Acqua potabile
  • Acque reflue
  • Pubblica Amministrazione
  • Spazio
  • Infrastrutture digitali (fra cui servizi di cloud computing, DNS, servizi di content delivery network)

 

Rientrano nei servizi importanti:

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Fabbricazione, produzione e distribuzione di sostanze chimiche
  • Produzione, trasformazione e distribuzione di alimenti
  • Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro
  • Fabbricazione di computer e prodotti di elettronica e ottica
  • Fabbricazione di apparecchiature elettriche
  • Fabbricazione di macchinari e apparecchiature n.c.a.
  • Fabbricazione di autoveicoli, rimorchi e semirimorchi
  • Fabbricazione di altri mezzi di trasporto
  • Servizi digitali, come motori di ricerca e piattaforme di social network

 

Ognuno dei soggetti interessati è tenuto ad applicare le misure elencate nell’Art. 21, comma 2, fra cui, ad esempio, l’adozione di politiche di analisi dei rischi e di sicurezza dei sistemi, policy per la gestione degli incidenti, pratiche di igiene informatica di base e formazione.

 

Cosa possiamo fare per voi se lavorate su infrastrutture considerate critiche:

All’interno del settore, e in attesa del recepimento della Direttiva NIS 2, è necessario applicare i codici ATECO. Convenuto che il settore con il quale interagite rientra in una delle categorie elencate dagli All. I e II della Direttiva, il nostro servizio di consulenza prevede un’attività di audit iniziale, per evidenziare i gap da colmare rispetto agli adempimenti richiesti in ambito NIS 2 (art. 21).

La GAP Analysis:

  • Scopo di analizzare lo stato delle misure richieste dall’art. 21, il livello di maturità e di copertura, in riferimento al perimetro cibernetico dell’infrastruttura finale da proteggere
  • Quello che facciamo è valutare gli adempimenti sotto NIS 2 e le vostre modalità di risposta
  • Risultato finale sarà la vostra presa di coscienza dei GAP in ambito NIS 2, per i quali vi aiuteremo a stimare e programmare le misure di adeguamento

 

Successive fasi di lavoro, da attivare in maniera modulare in base alle vostre necessità:

 

1) Supporto alla Governance

  • Supporto nella scelta del framework di riferimento più idoneo (NIST/IEC 62443), ed integrazioni con ISO 27001
  • Definizione delle responsabilità, organigrammi e job description per la cybersecurity
  • Definizione dei metodi, dei criteri e dei metodi per l’analisi dei rischi e della sicurezza dei sistemi
  • Definizione delle procedure per la gestione degli incidenti, mitigazione degli impatti e sistema di notifica
  • Analisi di tipo BIA (ISO 22317) per la continuità operativa, piani di business continuity e di disaster recovery
  • Analisi e messa in sicurezza della supply chain, definizione dei criteri di qualifica dei fornitori
  • Change Management, sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi
  • Definizione delle strategie, KPI/KRI e valutazione dell’efficacia delle misure di gestione dei rischi
  • Definizione delle Policy per i sistemi OT
  • Formazione del personale coinvolto nella cybersecurity
  • Procedure per la gestione degli asset e della documentazione
  • Procedure per la gestione delle vulnerabilitàe per l’aggiornamento dei sistemi OT
  • Sviluppo dei manuali per i sistemi di gestione della sicurezza e documentazione connessa
  • Esecuzione degli audit periodici sul livello di conformità e sicurezza

 

2) Supporto Tecnico

  • Valutazione dei rischi di cybersecurity
  • Cybersecurity Assessment del sito e analisi delle vulnerabilità
  • High Level Design sulle architetture del sito, piani di indirizzamento, segmentazione e segregazione delle reti
  • Supporto per la gestione dei fornitori e degli integratori, sviluppo delle specifiche tecniche, verifica e monitoraggio dei fornitori, procedure di collaudo FAT/SAT in merito alla cybersecurity
  • Sviluppo dei piani di Harderning dei dispositivi
  • Patch Management, supporto nella scelta delle soluzioni tecniche più idonee in funzione delle applicazioni e dei vendor utilizzati
  • Supporto nella scelta delle soluzionidi IDS, accesso remoto, gestione accessi

FAQ

La Direttiva NIS 2 nasce dalla revisione della NIS per garantire la effettiva continuità dei servizi essenziali in caso di eventi critici; servizi nel tempo diventati irrinunciabili per accelerare la trasformazione digitale a livello sociale, e, inesorabilmente, sempre più spesso presi di mira dalle intrusioni malevole, ampliando il campo di applicazione a un maggior numero di settori, categorizzati in base alla loro importanza.

Detto che gli operatori sotto NIS devono essere considerati soggetti essenziali anche ai fini della NIS 2, la Direttiva aggiornata considera settori critici tutte le organizzazioni che superano per dimensione la media impresa e forniscono servizi nei settori indicati nell’Allegato I, ossia:

  • Energia (elettrica, petrolio, gas)
  • Trasporto (aereo, ferroviario, via acqua, via strada)
  • Settore sanitario
  • Acqua potabile
  • Acque reflue
  • Pubblica Amministrazione
  • Spazio

Inoltre, la NIS 2 aggiunge all’elenco dei soggetti interessati anche le medie imprese che forniscono servizi nei settori indicati nell’Allegato II, definiti “soggetti importanti”, in cui rientrano, ad esempio:

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Fabbricazione, produzione e distribuzione di sostanze chimiche
  • Produzione, trasformazione e distribuzione di alimenti
  • Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro
  • Fabbricazione di computer e prodotti di elettronica e ottica
  • Fabbricazione di apparecchiature elettriche
  • Fabbricazione di macchinari e apparecchiature n.c.a.
  • Fabbricazione di autoveicoli, rimorchi e semirimorchi
  • Fabbricazione di altri mezzi di trasporto

L’entrata in vigore della Direttiva NIS 2 è prevista per il 18 ottobre 2024. Così come avvenuto per la prima Direttiva del 2018, gli Stati membri avranno un tempo definito per recepire i nuovi requisiti. Ad esempio, nel caso della prima Direttiva NIS, gli Stati membri avevano tempo fino al 9 maggio 2018 per recepire le regole nell’ordinamento nazionale e stabilire le sanzioni pecuniarie per la mancata conformità con la Direttiva. In Italia questo passo è stato segnato dal D.lgs. n.65 del 18 maggio 2018.

Suggerimenti

NIS 2 direttiva recepimento
attacco cyber danimarca 27 maggio 2023
simbolo certificazione cyber

Perché sceglierci

  • Abbiamo maturato esperienza nell'ambito della Cyber Security OT dal 2014
  • Testiamo le soluzioni di Cyber Security OT nel nostro laboratorio interno
  • I nostri tecnici sono certificati IEC 62443/ISA 99 (Fundamentals Specialist e Cyber Security Risk Assessment Specialist)
  • Siamo specializzati nel campo dell'automazione e delle reti OT
  • Collaboriamo con i principali fornitori di tecnologie per suggerire sempre la soluzione OT più indicata
  • La nostra divisione interna BYHON è Ente Accreditato ISASecure® per la certificazione di Cyber Security OT
  • Siamo Digital Transition Partner di Siemens Italia

Per maggiori informazioni su questo servizio o per richiedere una quotazione