Network and Information Security 2
Un attacco informatico ad aziende ed enti di settori critici come Energia, Trasporti, Acquedotti e servizi finanziari, può generare impatti molto gravi a servizi di intere nazioni. In questa ottica, la Commissione Europea ha approvato la nuova direttiva NIS 2 - Network and Information Security, entrata in vigore a gennaio 2023, con l'obiettivo principale di rendere più sicure le infrastrutture critiche di tutti gli stati membri dell’UE.
In particolare l’articolo 21 della NIS2 impone che le misure dovranno basarsi su un approccio multirischio con l’obiettivo di proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti di Cybersecurity.
Un attacco informatico ad aziende ed enti di settori critici come Energia, Trasporti, Acquedotti e servizi finanziari, può generare impatti molto gravi a servizi di intere nazioni. In questa ottica, la Commissione Europea ha approvato la nuova direttiva NIS 2 (Network and Information Security), entrata in vigore a gennaio 2023, che sostituisce e cambia profondamente la precedente.
L’obiettivo principale della direttiva è rendere più sicure le infrastrutture critiche di tutti gli stati membri dell’UE, rafforzando le misure di CyberSecurity. L’articolo 21 della NIS2 impone che le misure dovranno basarsi su un approccio multirischio con l’obiettivo di proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti di CyberSecurity. Nello specifico, le misure di sicurezza danno priorità a:
- politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
- gestione degli incidenti;
- continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
- sicurezza della catena di approvvigionamento, con aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
- sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
- strategie e procedure per valutare l'efficacia delle misure di gestione dei rischi di cybersicurezza;
- pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
- politiche e procedure relative all'uso della crittografia e, se del caso, della cifratura;
- sicurezza delle risorse umane, strategie di controllo dell'accesso e gestione degli attivi;
- uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
La direttiva si applica alle organizzazioni che gestiscono servizi essenziali per la stessa come, ad esempio, società di produzione e distribuzione energia, servizi sanitari, trasporti, infrastrutture di comunicazione elettronica e servizi bancari e finanziari e servizi digitali, ma anche a fornitori di servizi digitali come e-commerce, motori di ricerca, cloud computing e servizi ICT.
Exprivia supporta i fornitori di servizi essenziali e digitali con un piano strutturato, verso un nuovo assetto, sicuro e conforme alle nuove sfide. Abbiamo svolto diversi Assessment NIS per infrastrutture critiche, sulla base del NIST 1.0, producendo:
- un report di maturità per funzioni, categorie e sottocategorie del framework, declinando quali iniziative erano opportune per incrementare il livello di maturità indicato dall’organizzazione di settore;
- un Risk Assessment basato sul panorama delle minacce del settore specifico dell’infrastruttura critica.
Grazie all’esperienza maturata in ambito NIS, abbiamo individuato un servizio in 4 fasi che accompagnerà le organizzazioni all’adeguamento normativo:
- Una attività di Cybersecurity Risk Assessment, che permetterà di analizzare lo stato corrente di cybersecurity dell’organizzazione sulla base degli obblighi richiesti dalla direttiva NIS2.
- La produzione di una Gap Analysis, che basandosi sull’assessment effettuato nella prima fase permetterà di identificare in maniera approfondita le vulnerabilità e i rischi presenti all’interno dell’organizzazione. Verrà effettuato uno studio accurato e fornito all’organizzazione un report completo contenente raccomandazioni e best practices utili a colmare i gap individuati.
- La proposta di eventuali servizi ed attività che supporteranno i fornitori di servizi essenziali e digitali nel colmare gli eventuali gap individuati nelle fasi precedenti con apposite tecnologie e servizi di cybersecurity e con attività di remediation.
- Un continuo monitoraggio per le organizzazioni, supportandole affinché siano in linea con quanto richiesto dalla direttiva.
Exprivia, peraltro si pone fin da subito la priorità di proporre, progettare e realizzare, ove possibile, soluzioni di automazione che permettano alle organizzazioni di sostenere e mantenere la conformità normativa richiesta in continuità senza costi e impatti eccessivi sul carico di lavoro delle strutture coinvolte.