La Direttiva Ue 2022/2555, meglio nota come Direttiva NIS2, rappresenta una importante normativa che si prefigge di porre un freno agli effetti (impatti) degli attacchi informatici, sulla società e sull’economia comunitaria, stabilendo importanti novità e adempimenti che i soggetti destinatari della normativa dovranno tenere in considerazione.
Entro il 17 ottobre 2024, gli Stati membri adottano e pubblicano le misure necessarie per conformarsi alla direttiva, e applicano tali disposizioni a decorrere dal 18 ottobre 2024.
Direttiva NIS 2: a chi si applica
Rispetto alla precedente distinzione tra “operatori di servizi essenziali” e “fornitori di servizi essenziali”, nella NIS 2 vengono introdotte le nuove categorie di “soggetti essenziali” e “soggetti importanti”.
In queste categorie, come indicato negli allegati 1 e 2 della Direttiva, rientrano tutti i soggetti che operano nei “settori ad alta criticità” e negli “altri settori critici” e che sono considerate medie e grandi imprese. Nello specifico:
- settori ad alta criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestori dei servici Tlc (business-to-business), pubblica amministrazione, spazio;
- altri settori critici: servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; fabbricazione (di: dispositivi medici e medico-diagnostici in vitro; computer e prodotti di elettronica e ottica; apparecchiature elettriche; macchinari e apparecchiature n.c.a.; autoveicoli, rimorchi e semirimorchi; altri mezzi di trasporto); fornitori di servizi digitali; ricerca.
Il decreto legislativo di recepimento della direttiva (D.Lgs 138 del 4 settembre 2024) ha esteso l’ambito di applicazione della Direttiva ad ulteriori soggetti pubblici e privati definiti negli allegati III e IV, a prescindere dalla loro dimensione (anche Micro e PMI)
PRINCIPALI NOVITA’ E ADEMPIMENTI
L’impostazione della Direttiva mira a estendere la gestione della sicurezza informatica all’intera organizzazione, non relegandola esclusivamente al reparto IT.
Per questo la direttiva NIS2 prevede:
- Coinvolgimento e responsabilità degli organi di amministrazione e direzione, che devono approvare l’analisi dei rischi, le modalità di implementazione delle misure di gestione dei rischi, sovraintendere all’implementazione degli obblighi e sono responsabili delle violazioni. Sono inoltre tenuti a seguire una formazione in materia di sicurezza informatica e a promuovere tale formazione ai loro dipendenti;
- Gestione dei rischi terze parti (Supply chain security)
I soggetti in perimetro devono valutare e tenere in considerazione la qualità e la resilienza complessive dei prodotti e dei servizi, delle misure di gestione dei rischi di cibersicurezza in essi integrate e delle pratiche di cibersicurezza dei loro fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.
In particolare, i soggetti destinatari della Direttiva NIS2, sono incoraggiati a integrare misure di gestione dei rischi di cibersicurezza negli accordi contrattuali con i loro fornitori e fornitori di servizi diretti.
- Obbligo di segnalazione degli incidenti significativi, in più fasi, con una prima notifica (preallarme) entro 24 ore, una seconda segnalazione integrativa entro 72 ore ed una relazione finale entro un mese, con una descrizione dettagliata dell’incidente che descriva impatto, gravità, tipo di minaccia, causa, misure adottate, etc.
Gli Enti e le aziende interessate dalla NIS2 devono adottare una serie di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete utilizzati nelle attività o nella fornitura dei servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei servizi e per altri servizi.
Queste misure organizzative includono:
- politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
- gestione degli incidenti;
- continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
- sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
- strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza;
- pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
- politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
- sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
- uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
VIGILANZA, SANZIONI E MISURE INTERDITTIVE
Il Decreto Legislativo di recepimento prevede diverse sanzioni che vanno dalla mancata auto-iscrizione sul portale del NIS per le aziende in perimetro (0,1% del Fatturato) alla mancata adozione delle misure di sicurezza o mancata segnalazione incidenti (2% del fatturato o € 10.000.000,00), passando per le ammende conseguenti a violazioni a seguito di Vigilanza che possono portare oltre ad una sanzione amministrativa pecuniaria, alla sospensione di un’autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale, e per le persone fisiche responsabili del soggetto in questione, all’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto.
COSA BISOGNA FARE PER ADEGUARSI
L’adeguamento alla NIS2 ha un impatto importante sull’organizzazione e un non adeguato recepimento delle misure imposte può portare a importanti conseguenze, oltre a non fornire le giuste garanzie per evitare impatti economici e sociali sull’organizzazione stessa e sui fruitori dei suoi servizi.
- Stabilire un processo di Governance della Cyber Security attraverso la definizione di ruoli, compiti e responsabilità
- Formare il management sui rischi cyber e renderli edotti sugli impatti economici e sociali che potrebbero derivare da un incidente cyber (costo della mancata mesa in sicurezza)
- Effettuare l’analisi e successiva redazione e/o revisione di politiche, procedure, istruzioni operative, piano di gestione e risposta agli incidenti, piani di continuità operativa, redazione della documentazione di sistema (utile da esibire anche in caso di vigilanza per fornire ogni evidenza di carattere organizzativo adottata per contrastare le minacce applicabili).
- Effettuare l’analisi dei processi collegati ai prodotti ed ai servizi caratterizzanti, ai fini dell’applicazione delle misure di accountability, dell’analisi del rischio, della gestione della supply chain e delle misure di sicurezza.
- Valutare la propria postura di sicurezza e quella dei propri fornitori e fornitori di servizi, nei confronti dei quali definire attraverso vincoli contrattuali, gli oneri di sicurezza, gli audit e dei KPI per una exit strategies;
- Gap analysis infrastrutturale e di security ed individuazione delle misure di sicurezza da integrare;
- Identificazione di un responsabile, punto di contatto con Autorità Nazionale NIS e dell’Autorità di settore.
- Adeguamento tecnologico delle misure di sicurezza individuate, test di vulnerabilità, gestione dei piani di rientro.
- Formazione del personale
- Gestione continuativa delle misure di sicurezza
- Test periodici e simulazioni di incidente cyber
COME POSSIAMO AIUTARTI
Evolumia è leader indiscusso e riconosciuto nel Sud Italia sui temi della sicurezza delle informazioni, con 24 anni di esperienza sul campo e le importanti referenze che può vantare, nonché per gli incarichi di prestigio del proprio personale in ambito nazionale, motivo per il quale molte delle più importanti organizzazioni imprenditoriali del meridione si sono affidate ai nostri servizi.
Grazie alle nostre competenze, siamo in grado di affiancare l’azienda in ogni fase dell’adeguamento, sia per gli aspetti organizzativi e di processo, che per l’effettiva protezione della vostra infrastruttura, passando da una corretta valutazione della sicurezza della vostra infrastruttura al relativo adeguamento tecnologico, fornendo una visione scevra da condizionamenti commerciali, ma finalizzata ad individuare ed implementare le tecnologie più efficaci e adatte al contesto aziendale.
A tal proposito abbiamo messo a punto una offerta per ciascuna fase o sottofase del processo di adeguamento tecnico ed organizzativo.
Formazione per il TOP Management
Corsi di formazione tagliato per i decision maker facenti parte di organi di amministrazione e direttivi delle organizzazioni, finalizzati a fornire concetti utili alla comprensione dei rischi cyber, del loro impatto sul business e fornendo nozioni utili per la valutazione del rischio.
Piano di security awareness
Proposizione di un percorso di “Security awareness” per l’intera popolazione aziendale epr renderla edotta dei rischi cyber e allenarla a riconoscere le minacce anche attraverso simulazioni di attacchi di phishing
Assessment e gap analysis
Rilevamento, documentazione e valutazione dell’infrastruttura di rete e dei sistemi informativi, analisi della superficie di attacco, determinazione degli interventi correttivi e redazione di un piano di adeguamento e investimento per le misure di sicurezza atte a contrastare le minacce determinate con un approccio multirischio.
Supporto alla governance
Supportiamo le organizzazioni nella conduzione dell’analisi dei rischi, nella stesura delle politiche aziendali sulla cyber security interna all’organizzazione e verso i fornitori per garantire la sicurezza della catena di fornitura, nella stesura dele procedure ed eventualmente dei “play book”
Supporto nella prevenzione, gestione e reazione agli incidenti
Forniamo soluzioni e servizi necessari per la detection, in modo da intercettare gli indicatoridi attacco (IOA) e bloccare gli attacchi sul nascere, o rilevare gli indicatri di compromissione (IOC) per intervenire ed evitare una escalation di eventuali compromissioni e fornire elementi di indagine, oltre al supporto pe reagire ad eventuali attacchi in corso.
Sicurezza dell’infrastruttura di rete e dei sistemi informativi
Analizziamo e riprogettiamo la tua infrastruttura di rete e computazionale analizzandola con un approccio multirischio, mettendo al centro persone e dato, analizzando le relazioni tra gli asset secondo il principio dello “Zero trust”, progettando ed implementando soluzioni allo stato dell’arte che coprono l’intera superficie di attacco.
La nostra filosofia, frutto di oltre 20 anni di esperienza sul campo, ci porta a determinare le misure di sicurezza da adottare partendo dal presupposto che le stesse misure di sicurezza possono fallire, definendo pertanto contromisure per sopperire al superamento di una delle linee di difesa.
Servizi di CTI (Cyber Threat Intelligence)
Oggi i cyber criminali possono contare su informazioni presenti fuori dal perimetro aziendale, frutto di precedenti compromissioni, o di data leak anche presso terze parti, che forniscono informazioni, dati, info su relazioni, credenziali ed ogni altra forma di informazione utile a violare la tua organizzazione.
Indagare e scoprire cosa hanno in mano i cybercriminali è fondamentale per evitare attacchi che bypassano le tue misure di sicurezza ed espongono al tua organizzazione a perdite di fatturato, perdita di reputazione o blocco dell’operatività.
Grazie al nostro servizio di indagine nel Dark Web ti forniremo evidenze della tua attuale postura di sicurezza con occhi di un attaccante, e forniremo nel caso evidenza di quanto è già in mano al cybercrime in modo che possa intervenire con azioni di bonifica, recupero di credenziali ed altro, oltre a fornirti suggerimenti per integrare o migliorare le tue politiche di sicurezza e le relative procedure, oltre a eventuali misure accessorie ove assenti o non efficaci.
Gestione della continuità operativa
Forniamo soluzioni che assicurano un backup in cloud sicuro (e fuori linea) per garantire la disponibilità dei dati e dell’intero ambiente computazionale in cado di indicenti fisici e cyber, offrendo anche una soluzione di “Disaster recovery” immediata e senza bisogno di cambi di configurazioni nell’ambiente di produzione.
Sicurezza degli ambienti IoT e OT
Offriamo un servizio di assessment, analisi e protezione degli ambienti IoT e OT con specifiche soluzioni e con interventi sistemistici atti a limitare la superficie di attacco e a rilevare e bloccare agenti di minaccia per tutelare la continuità operativa e contenere eventuali
Supporto nella valutazione della supply chain
Aiutiamo le organizzazioni a definire le politiche di sicurezza per la supply chain, effettuiamo audit di seconda parte sui i tuoi fornitori e aiutiamo le organizzazioni a comprendere l’effettiva efficacia delle loro misure di sicurezza. Effettuiamo inoltre un analisi della loro postura di sicurezza.
Verifiche di sicurezza esterne ed interne
Effettuiamo verifiche sulla effettiva efficacia delle misure di sicurezza e sui sistemi esposti al pubblico con Penetration Test, anche a livello applicativo.
Per quanto concerne la verifica di efficacia delle misure di sicurezza implementate dalle organizzazioni offriamo servizi di verifica dall’interno, simulando un insider o l’azione di un malware che potrebbe raggiungere l’interno della tua organizzazione con un qualunque vettore di attacco.
Con questo servizio saprai se quanto implementato a protezione della tua organizzazione funziona o se e come un cybercriminale potrebbe bypassare le tue difese. In caso di successo forniamo evidenza dell’attacco e le relative contromisure per scongiurare un attacco reale.
Vulnerability assessment
Offriamo servizi e/o soluzioni di “continuous vulnerability assessment” e patch managament per l’infrastruttura interna dei clienti, per un controllo sistematico delle vulnerabilità che potrebbero presentarsi sugli strumenti elettornici presenti.