Consulenza NIS2

SAFECORE

Cosa introduce la NIS2

La Direttiva (UE) 2022/2555, nota anche come “Direttiva NIS 2”, pubblicata nel dicembre scorso nel bollettino ufficiale dell’Unione Europea, è entrata in vigore il 17 gennaio 2023.

Gli enti pubblici e privati coinvolti dovranno adeguare la loro struttura organizzativa e i processi per rispettare i nuovi requisiti di sicurezza imposti dalla direttiva.

La Direttiva NIS 2 si evolve dalla Direttiva (UE) 2016/1148, conosciuta come “Direttiva NIS”, che è stata integrata nel diritto italiano tramite il D.lgs. n. 65/2018. Quest’ultima rappresentava un primo passo nell’ambito della legislazione europea sulla Cyber Security. L’elemento più innovativo della Direttiva NIS2 risiede nel suo campo di applicazione: oltre ai settori già coperti dalla Direttiva NIS1, le nuove normative si estendono anche a un numero maggiore di aziende precedentemente non incluse.

Ambito di applicazione

L’aspetto più innovativo della Direttiva NIS2 riguarda la sua portata. Oltre ai settori già coperti dalla Direttiva NIS1, come energia, telecomunicazioni, trasporti, settore bancario e finanziario, sanità, etc., le nuove regolamentazioni si estendono anche a diverse altre categorie di aziende non precedentemente incluse. Queste includono, tra gli altri:

  • Fornitori di servizi digitali, quali piattaforme di cloud computing, data center, provider di content delivery network, servizi di comunicazione elettronica e di reti di comunicazione elettronica;
  • Operatori nel settore sanitario, che comprende aziende farmaceutiche, produttori di dispositivi medici e fornitori di servizi sanitari;
  • Aziende impegnate nella produzione, lavorazione e distribuzione di alimenti, inclusi i grandi rivenditori.

 

Il testo normativo aggiornato fornisce anche dettagli sulle dimensioni delle società coinvolte. Pertanto, la Direttiva NIS2 si applica alle medie e grandi imprese dei settori menzionati, ma potrebbe includere anche piccole e microimprese se operano in settori cruciali per la società. Inoltre, indipendentemente dalle dimensioni, rientrano nel suo campo di applicazione i fornitori di servizi di comunicazione elettronica e di reti di comunicazione elettronica, tra gli altri.

I principali obblighi

  • policy sull’analisi dei rischi e sulla sicurezza dei sistemi informativi;
  • sistemi di gestione degli incidenti;
  • sistemi di business continuity, come la gestione dei backup e il disaster recovery, e la gestione delle crisi;
  • misure di gestione della sicurezza della supply chain;
  • la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità;
  • pratiche di igiene informatica di base [i.e., regole fondamentali per garantire la cybersecurity] e formazione in materia di sicurezza informatica;
  • policy e procedure per valutare l’efficacia delle misure di gestione del rischio di cybersecurity;
  • policy e procedure relative all’uso della crittografia e, se del caso, della cifratura crittografia;
  • misure sulla sicurezza delle risorse umane, le politiche di controllo degli accessi e la gestione degli asset;
  • l’uso di soluzioni di autenticazione a più fattori [ie., la c.d. multifactor authentication] o di autenticazione continua, di comunicazioni vocali, video e di testo protette e di sistemi di comunicazione di emergenza protetti all’interno dell’entità, ove opportuno.

I vari step

La nostra lista di controllo Compliance Nis2 aiuterà la tua organizzazione ad implementare con successo un sistema di gestione della sicurezza informatica verso tutti gli attori coinvolti, per creare un clima di responsabilità condivisa nei confronti della gestione del rischio e dell’adozione delle necessarie misure di prevenzione e rimedio agli attacchi informatici:

  • Sviluppare una tabella di marcia per l’implementazione di successo dei requisiti richiesti per la Compliance;
  • Analizzare e valutare i rischi di sicurezza dei sistemi informativi con operazioni di cyber security assessment, penetration test e web application penetration test;
  • Gestire gli incidenti di sicurezza informatici con un piano e un’attività di monitoraggio continuo e incident response;
  • Dotarsi di un piano di continuità di business e gestione delle crisi;
  • Assicurare la sicurezza delle supply chain, controllando che i propri fornitori dispongano di adeguati requisiti in termini di sicurezza;
  • Testare regolarmente la sicurezza dell’infrastruttura IT e l’efficacia delle misure di gestione del rischio adottate;
  • Avviare un piano di formazione cyber per mitigare i rischi legati al fattore umano;
  • Avvio di policy e procedure legate alla riservatezza delle informazioni con strumenti di crittografia;
  • Avvio di politiche di controllo degli accessi e gestione degli asset aziendali;
  • Introduzione di metodi di autenticazione sicuri con l’utilizzo del MFA

La nostra metodologia

Safecore ha sviluppato un approccio olistico che consiste nell’analisi periodica dei rischi provenienti dalle tre componenti fondamentali all’interno di un’organizzazione quali le PERSONE, i PROCESSI e le TECNOLOGIE.

attuare politiche di sicurezza a tutela di tutto il personale, interno ed esterno, coinvolto nell’erogazione di servizi

inclusione dei principi di sicurezza in tutti i processi aziendali nel rispetto di “Security by design”

verificare la sicurezza di tutte le tecnologie adottate all”interno dell’organizzazione con particolare riferimento a quelle dedicate per l’erogazione dei servizi

Perché scegliere Safecore

Il team Safecore è composto da persone appassionate da sempre alle sfide, soprattutto quelle legate alla sicurezza informatica. Le numerose esperienze affrontate in importanti contesti come quello bancario e assicurativo, l’eterogeneità e il forte legame del team rende Safecore un’ottima arma di prevenzione.
Nel tempo sono state acquisite elevate capacità di Problem Solving e un metodo di pensiero fuori dagli schemi (“Think Outside The Box”) che si è rivelato vitale per raggiungere ottimi risultati.

Il team Safecore è altamente qualificato e vanta svariate certificazioni riconosciute a livello aziendale, tra cui:

  • OSCP (Offensive Security Certified Professional)
  • OSWE (Offensive Security Web Expert)
  • eWPT (eLearnSecurity Web application Penetration Tester)
  • eMAPT (eLearnSecurity Mobile Application Penetration Tester)
  • eJPT (eLearnSecurity Junior Penetration Tester)
  • eCDFP (eLearnSecurity Certified Digital Forensics Professional)
  • ISO 27001 Lead Auditor
  • ISO 22301 Lead Auditor

Il percorso nel tempo con Safecore

Safecore offre anche il servizio di consulenza nelle fasi successive, per l’aggiornamento del personale e il mantenimento dei requisiti necessari nel corso del tempo.

In particolare, i servizi di Safecore comprendono:

  • servizi di vulnerability assessment continui;
  • gap analysis e definizione del piano di intervento;
  • revisione dell’incident response plan e del piano di disaster recovery;
  • consulenza continua per l’adeguamento alla direttiva Nis2;
  • redazione dell’apparato documentale;
  • risk assessment supporto per audit interni ed esterni;
  • formazione;

Inoltre assistiamo le aziende nelle revisioni della propria organizzazione o degli obiettivi aziendali, a seguito dell’emissione di nuove versioni della norma, oppure nell’adozione di nuovi standard dedicati a specifici settori. Non da ultimo diamo supporto per il raggiungimento di compliance come la iso 27001 e la io 22301.
SAFECORE VIRTUAL ROOM

Benvenuto

Il nostro spazio digitale è a tua disposizione!

Scegli come interagire
Comincia da qui, puoi iniziare una nuova conversazione se il consulente è disponibile oppure prenotare il tuo appuntamento.

Parla con un consulente

Prenota un appuntamento