Articoli tecnici Cyber Security

Direttiva NIS 2, cosa fare in attesa del recepimento

Tempo di Lettura: 5 minuti - Livello di Difficoltà: avanzato

Le Direttive NIS e NIS 2 nascono per incentivare gli Stati dell’UE ad adottare strategie nazionali in materia di cybersecurity in risposta agli incidenti di sicurezza che colpiscono i servizi essenziali. Rispetto alla prima Direttiva del 2018, vediamo cosa specifica la Direttiva NIS 2, con l’entrata in vigore prevista per il 18 ottobre 2024, e cosa fare per prepararsi al prossimo recepimento.

La prima NIS del 2018

La Direttiva NIS (Network and Information Security) è la normativa relativa alla sicurezza delle reti e dei sistemi informativi che è nata con lo scopo di raggiungere un livello comune elevato di cybersecurity in tutta l’Unione Europea.

Gli Stati membri avevano tempo fino al 9 maggio 2018 per recepire la Direttiva NIS nell’ordinamento nazionale e stabilire le sanzioni pecuniarie per la mancata conformità con la Direttiva. In Italia questo passo è stato segnato dal D.lgs. n.65 del 18 maggio 2018.

La Direttiva NIS si rivolgeva a tutti i soggetti tenuti a implementare programmi di cybersecurity efficaci:

  • Operatori dei servizi essenziali (OES) localizzati in UE, fra cui i fornitori di acqua potabile, energia, salute, trasporti
  • Fornitori di servizi digitali (FSD) che offrono servizi a persone in UE, a esclusione delle aziende < 50 dipendenti e fatturato < 10 milioni di euro, fra cui motori di ricerca e servizi di cloud computing

 

Con la NIS 2 il campo di applicazione si estende ad altri soggetti. Continua a leggere per saperne di più.

 

La Direttiva NIS 2 per i Soggetti Essenziali

La Direttiva NIS 2 nasce dalla revisione della NIS per garantire la effettiva continuità dei servizi essenziali in caso di eventi critici; servizi nel tempo diventati irrinunciabili per accelerare la trasformazione digitale a livello sociale, e, inesorabilmente, sempre più spesso presi di mira dalle intrusioni malevole.

Ecco che la Direttiva NIS 2 nasce come deterrente con lo scopo di uniformare all’interno degli Stati UE il livello di consapevolezza e conoscenza delle strategie di cybersecurity, già trattate dalla Direttiva NIS, ampliandone il campo di applicazione.

 

Detto che gli operatori sotto NIS devono essere considerati soggetti essenziali anche ai fini della NIS 2, la Direttiva aggiornata considera settori critici tutte le organizzazioni che superano per dimensione la media impresa e forniscono servizi nei settori indicati nell’Allegato I, ossia:

  • Energia (elettrica, petrolio, gas)
  • Trasporto (aereo, ferroviario, via acqua, via strada)
  • Settore sanitario
  • Acqua potabile
  • Acque reflue
  • Pubblica Amministrazione
  • Spazio

 

All’interno del settore, e in attesa del recepimento della NIS 2, si fa necessario applicare i codici ATECO. Si noti che ogni Stato Membro potrà decidere di applicare il concetto di essenzialità ad altre organizzazioni, in base a differenti criteri di sicurezza (ad esempio, in caso di fornitore unico o di impatto significativo).

 

La Direttiva NIS 2 per i Soggetti Importanti

La NIS 2 aggiunge all’elenco dei soggetti interessati anche le medie imprese che forniscono servizi nei settori indicati nell’Allegato II, definiti “soggetti importanti”.

Vi rientrano:

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Fabbricazione, produzione e distribuzione di sostanze chimiche
  • Produzione, trasformazione e distribuzione di alimenti
  • Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro
  • Fabbricazione di computer e prodotti di elettronica e ottica
  • Fabbricazione di apparecchiature elettriche
  • Fabbricazione di macchinari e apparecchiature n.c.a.
  • Fabbricazione di autoveicoli, rimorchi e semirimorchi
  • Fabbricazione di altri mezzi di trasporto

 

Quali adempimenti impone la Direttiva NIS 2

I soggetti interessati dovranno applicare le misure elencate nell’Art. 21, comma 2.

Le indicazioni sono le stesse per i soggetti essenziali tanto quanto per i soggetti importanti, ma con diversa intensità in termini di gestione del rischio e delle misure richieste.

Le misure di cui all’Art. 21, comma 2, includono:

  • Politiche di analisi dei rischi e di sicurezza dei sistemi
  • Gestione degli incidenti
  • Continuità operativa
  • Sicurezza della catena di approvvigionamento
  • Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi
  • Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi
  • Pratiche di igiene informatica di base e formazione
  • Sicurezza delle risorse umane, strategie di controllo accessi e gestione asset
  • Uso di soluzioni di autenticazione a più fattori o di autenticazione continua

 

Tutti i soggetti interessati (essenziali e importanti) avranno obbligo di notifica degli incidenti al CSIRT e dovranno collaborare con gli organi istituzionali, oggi rappresentati dall’ACN – Agenzia per la Cybersicurezza Nazionale -, condividendo le informazioni sui propri sistemi e sulle misure di sicurezza predisposte.

 

Maggiori informazioni:

 

Che fare in attesa del recepimento della NIS 2

Le opzioni a disposizione dei soggetti interessati, in attesa del recepimento della Direttiva NIS 2, sono oggi:

 

Il nostro consiglio è implementare gli schemi collaudati tenendo conto degli adempimenti richiesti in ambito nazionale dalle autorità; ed ecco quello che possiamo fare per voi:

  • Consulenza in ambito NIS 2, supporto alla governance e supporto tecnico focalizzato sui sistemi OT.
  • Modalità Time & Material, supporto e integrazione con il vostro team responsabile degli adempimenti, o su task di progetto, in accordo alla pianificazione condivisa.

 

Hai bisogno di maggiori informazioni per prepararti alla Direttiva NIS 2?

 

Contattaci

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

Il nostro supporto ai soggetti interessati dalla Direttiva NIS 2

La consulenza che vi riserviamo in merito ai punti da colmare rispetto agli adempimenti richiesti in ambito NIS 2 (art. 21) inizia dalla GAP Analysis, ossia un’attività di audit rapida e concentrata.

La GAP Analysis:

  • Scopo di analizzare lo stato delle misure richieste dall’art. 21, il livello di maturità e di copertura, in riferimento al perimetro cibernetico da proteggere
  • Quello che facciamo è valutare gli adempimenti sotto NIS 2 e le vostre modalità di risposta
  • Risultato finale sarà la vostra presa di coscienza dei GAP in ambito NIS 2, per i quali vi aiuteremo a stimare e programmare le misure di adeguamento

 

Da qui, si snodano le successive fasi di lavoro, in base alle vostre esigenze.

 

Con il Supporto alla Governance lavoriamo al vostro fianco:

  • Supporto nella scelta del framework di riferimento più idoneo (NIST/IEC 62443)
  • Definizione delle responsabilità, organigrammi e job description per la cybersecurity
  • Definizione dei metodi, dei criteri e dei metodi per l’analisi dei rischi e della sicurezza dei sistemi
  • Definizione delle procedure per la gestione degli incidenti, mitigazione degli impatti e sistema di notifica
  • Analisi di tipo BIA (ISO 22317) per la continuità operativa, piani di business continuity e di disaster recovery
  • Analisi e messa in sicurezza della supply chain, definizione dei criteri di qualifica dei fornitori
  • Change Management, sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi
  • Definizione delle strategie, KPI/KRI e valutazione dell’efficacia delle misure di gestione dei rischi
  • Definizione delle Policy per i sistemi OT
  • Formazione del personale coinvolto nella cybersecurity
  • Procedure per la gestione degli asset e della documentazione
  • Procedure per la gestione delle vulnerabilità e per l’aggiornamento dei sistemi OT
  • Sviluppo dei manuali per i sistemi di gestione della sicurezza e documentazione connessa
  • Esecuzione degli audit periodici sul livello di conformità e sicurezza

 

 

Con il Supporto Tecnico procediamo:

  • Valutazione dei rischi di cybersecurity
  • Cybersecurity Assessment del sito e analisi delle vulnerabilità
  • High Level Design sulle architetture del sito, piani di indirizzamento, segmentazione e segregazione delle reti
  • Supporto per la gestione dei fornitori e degli integratori, sviluppo delle specifiche tecniche, verifica e monitoraggio dei fornitori, procedure di collaudo FAT/SAT in merito alla cybersecurity
  • Sviluppo dei piani di Harderning dei dispositivi
  • Patch Management, supporto nella scelta delle soluzioni tecniche più idonee in funzione delle applicazioni e dei vendor utilizzati
  • Supporto nella scelta delle soluzioni di IDS, accesso remoto, gestione accessi

 

Per attivarti da subito in ambito NIS 2, e raggiungere gli obiettivi di conformità, richiedi una consulenza.

 

 

Domande? Commenti?

 

Inviaci il tuo feedback

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

Torna all'elenco degli articoli
Send this to a friend