Cosa introduce la NIS2
La Direttiva (UE) 2022/2555, più conosciuta come “Direttiva NIS 2” , pubblicata lo scorso dicembre nella Gazzetta ufficiale dell’Unione Europea, è entrata in vigore il 17 gennaio 2023.
I soggetti pubblici e privati interessati saranno chiamati a preparare e allineare la loro organizzazione e i loro processi ai nuovi obblighi di sicurezza.
La Direttiva NIS 2, prende forma e sostanza dalla Direttiva (UE) 2016/1148 (di seguito “Direttiva NIS”), recepita in Italia attraverso il D.lgs. n. 65/2018, la quale può essere considerata come il primo atto della strategia legislativa europea in materia di Cyber Security. La novità principale della Direttiva NIS2 è il suo ambito di applicazione.
Le nuove disposizioni normative oltre ad essere applicabili ai settori originariamente previsti dalla Direttiva NIS1 sono applicabili anche ad un novero di società prima non incluse.
Ambito di applicazione
La novità principale della Direttiva NIS2 è il suo ambito di applicazione. Le nuove disposizioni normative oltre ad essere applicabili ai settori originariamente previsti dalla Direttiva NIS1 (e.g. il settore dell’energia, delle telecomunicazioni, dei trasporti, bancario e dei mercati finanziari, healthcare, etc.) sono applicabili anche ad un novero di società prima non incluse, quali quelle che forniscono, tra gli altri:
- servizi digitali, ad esempio piattaforme di cloud computing, data centre, content delivery network provider, servizi di comunicazione elettronica e di reti di comunicazione elettronica;
- servizi sanitari, quali – tra gli altri – società farmaceutiche, produttori di dispositivi medici ed healthcare provider;
- servizi di produzione, trasformazione e distribuzione di cibo, ivi comprese le imprese della grande distribuzione.
Il nuovo testo normativo introduce inoltre indicazioni circa le dimensioni delle società. Rientrano quindi nel campo di applicazione della Direttiva NIS2 le società dei settori sopra richiamati che siano di medie e grandi dimensioni, ma potrebbero rientrarci anche piccole e microimprese se operano in settori chiave per la società e, indipendentemente dalle dimensioni, fornitori, tra gli altri, di servizi di comunicazione elettronica e di reti di comunicazione elettronica.
I principali obblighi
- policy sull’analisi dei rischi e sulla sicurezza dei sistemi informativi;
- sistemi di gestione degli incidenti;
- sistemi di business continuity, come la gestione dei backup e il disaster recovery, e la gestione delle crisi;
- misure di gestione della sicurezza della supply chain;
- la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità;
- pratiche di igiene informatica di base [i.e., regole fondamentali per garantire la cybersecurity] e formazione in materia di sicurezza informatica;
- policy e procedure per valutare l’efficacia delle misure di gestione del rischio di cybersecurity;
- policy e procedure relative all’uso della crittografia e, se del caso, della cifratura crittografia;
- misure sulla sicurezza delle risorse umane, le politiche di controllo degli accessi e la gestione degli asset;
- l’uso di soluzioni di autenticazione a più fattori [ie., la c.d. multifactor authentication] o di autenticazione continua, di comunicazioni vocali, video e di testo protette e di sistemi di comunicazione di emergenza protetti all’interno dell’entità, ove opportuno.
I vari step
La nostra lista di controllo Compliance Nis2 aiuterà la tua organizzazione ad implementare con successo un sistema di gestione della sicurezza informatica verso tutti gli attori coinvolti, per creare un clima di responsabilità condivisa nei confronti della gestione del rischio e dell’adozione delle necessarie misure di prevenzione e rimedio agli attacchi informatici:
- Sviluppare una tabella di marcia per l’implementazione di successo dei requisiti richiesti per la Compliance;
- Analizzare e valutare i rischi di sicurezza dei sistemi informativi con operazioni di cyber security assessment, penetration test e web application penetration test;
- Gestire gli incidenti di sicurezza informatici con un piano e un’attività di monitoraggio continuo e incident response;
- Dotarsi di un piano di continuità di business e gestione delle crisi;
- Assicurare la sicurezza delle supply chain, controllando che i propri fornitori dispongano di adeguati requisiti in termini di sicurezza;
- Testare regolarmente la sicurezza dell’infrastruttura IT e l’efficacia delle misure di gestione del rischio adottate;
- Avviare un piano di formazione cyber per mitigare i rischi legati al fattore umano;
- Avvio di policy e procedure legate alla riservatezza delle informazioni con strumenti di crittografia;
- Avvio di politiche di controllo degli accessi e gestione degli asset aziendali;
- Introduzione di metodi di autenticazione sicuri con l’utilizzo del MFA
La nostra metodologia
Safecore ha sviluppato un approccio olistico che consiste nell’analisi periodica dei rischi provenienti dalle tre componenti fondamentali all’interno di un’organizzazione quali le PERSONE, i PROCESSI e le TECNOLOGIE.
attuare politiche di sicurezza a tutela di tutto il personale, interno ed esterno, coinvolto nell’erogazione di servizi
inclusione dei principi di sicurezza in tutti i processi aziendali nel rispetto di “Security by design”
verificare la sicurezza di tutte le tecnologie adottate all”interno dell’organizzazione con particolare riferimento a quelle dedicate per l’erogazione dei servizi
Perché scegliere Safecore
Il team Safecore è composto da persone appassionate da sempre alle sfide, soprattutto quelle legate alla sicurezza informatica. Le numerose esperienze affrontate in importanti contesti come quello bancario e assicurativo, l’eterogeneità e il forte legame del team rende Safecore un’ottima arma di prevenzione.
Nel tempo sono state acquisite elevate capacità di Problem Solving e un metodo di pensiero fuori dagli schemi (“Think Outside The Box”) che si è rivelato vitale per raggiungere ottimi risultati.
Il team Safecore è altamente qualificato e vanta svariate certificazioni riconosciute a livello aziendale, tra cui:
- OSCP (Offensive Security Certified Professional)
- OSWE (Offensive Security Web Expert)
- eWPT (eLearnSecurity Web application Penetration Tester)
- eMAPT (eLearnSecurity Mobile Application Penetration Tester)
- eJPT (eLearnSecurity Junior Penetration Tester)
- eCDFP (eLearnSecurity Certified Digital Forensics Professional)
- ISO 27001 Lead Auditor
- ISO 22301 Lead Auditor
Il percorso nel tempo con Safecore
Safecore offre anche il servizio di consulenza nelle fasi successive, per l’aggiornamento del personale e il mantenimento dei requisiti necessari nel corso del tempo.
In particolare, i servizi di Safecore comprendono:
- servizi di vulnerability assessment continui;
- gap analysis e definizione del piano di intervento;
- revisione dell’incident response plan e del piano di disaster recovery;
- consulenza continua per l’adeguamento alla direttiva Nis2;
- redazione dell’apparato documentale;
- risk assessment supporto per audit interni ed esterni;
- formazione;
Inoltre assistiamo le aziende nelle revisioni della propria organizzazione o degli obiettivi aziendali, a seguito dell’emissione di nuove versioni della norma, oppure nell’adozione di nuovi standard dedicati a specifici settori. Non da ultimo diamo supporto per il raggiungimento di compliance come la iso 27001 e la io 22301.
