Categoria: NIS2

NIS2, è un aggiornamento della versione precedente della direttiva NIS (Network and Information Security). Il suo obiettivo è creare un comune livello di cybersicurezza in tutti gli Stati membri dell'Unione europea.

La conformità alla Direttiva NIS 2 non è solo una necessità legale, ma rappresenta un’opportunità per ogni azienda di migliorare la sua sicurezza.

138/24, la Cybersecurity nazionale: arriva il Decreto di adeguamento alle regole europee

Posted on by

138/24, la Cybersecurity diventa nazionale, difatti con il DECRETO LEGISLATIVO 4 settembre 2024, n. 138 il Governo recepisce la direttiva (UE) 2022/2555 che contiene le misure per garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.

Il Decreto in vigore dal 16 ottobre 2024, come abbiamo visto era previsto già nella Legge di Delegazione Europea 2023 per adeguare la normativa interna alla direttiva (UE) 2022/2555, volta ad aumentare la resilienza di soggetti pubblici e privati operanti nell’Unione Europea alle minacce nell’ambito cibernetico (vedi qui tutti i punti della Direttiva 2022/2555 recepita).

Cosa prevede il Decreto e in che modo si intende assicurare la sicurezza cibernetica interna coerentemente con quanto previsto a livello europeo?

All'interno dell'articolo avremo modo di analizzare i seguenti punti:

Il DECRETO LEGISLATIVO 4 settembre 2024, n. 138

Il DECRETO LEGISLATIVO 4 settembre 2024, n. 138/24 contiene 44 articoli e quattro allegati: nei sei Capi che lo compongono delinea diverse questioni afferenti alla cybersecurity fra le quali:

  • Il Quadro nazionale di sicurezza informatica;
  • Cooperazione a livello dell’Unione europea e internazionale;
  • Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente;
  • Monitoraggio, vigilanza ed esecuzione.

Cybersecurity: le misure principali del D.Lgs. n.138/24

Segnaliamo in particolare nel decreto

  • Art.7 – L’obbligo dal 1° gennaio al 28 febbraio di ogni anno successivo all’entrata in vigore del Decreto di registrazione sulla piattaforma digitale dell’Autorità nazionale competente NIS ai fini dello svolgimento delle funzioni attribuite all’Agenzia per la cybersicurezza nazionale;
  • Art.8 – il riferimento al trattamento dei dati personali conformemente al decreto legislativo 30 giugno 2003, n. 196 e al regolamento (UE) 2016/679;
  • Art. 24 e 25 dettagliano rispettivamente gli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e le notifiche di incidente, oltre che volontaria (art.26)
  • Art.29, le regole per la “Banca dei dati di registrazione dei nomi di dominio”;
  • Art.33 – la norma di collegamento con la disciplina del D.Lgs. n.105/2019 per il “Coordinamento con la disciplina del perimetro di sicurezza nazionale cibernetica”;
  • Art-34-39 sul ruolo di monitoraggio svolto dall’Autorità nazionale  competente  NIS  che  valuta  il rispetto da parte dei soggetti essenziali e dei  soggetti  importanti degli obblighi previsti dall’articolo 7 e  dal  capo  IV (artt. 23 e 33)

A chi si applica il Decreto sulla Cybersicurezza nazionale?

Il decreto ed i principi UE che esso porta con sé riguardano (art.3) i soggetti pubblici e privati delle tipologie di cui agli allegati

  • Allegati I, II, soggetti che superano i massimali per le piccole imprese nei settori ritenuti, rispettivamente, altamente critici e critici
  • Allegati III e IV: le categorie di pubbliche amministrazioni

Il decreto si applica anche, indipendentemente dalle dimensioni

  • ai soggetti che sono identificati come soggetti critici ai sensi del decreto legislativo, che recepisce la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022;
  • ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
  • ai prestatori di servizi fiduciari;
  • ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
  • ai fornitori di servizi di registrazione dei nomi di dominio;
  •  alle pubbliche amministrazioni di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, ricomprese nelle categorie elencate nell’allegato III.

Si veda tutte le categorie nel dettaglio dell’articolo 3 del Decreto.

Come garantire un elevato livello di Cibersicurezza

Il D.Lgs. n.138/24 prevede alcuni strumenti volti ad aumentare il livello elevato di sicurezza informatica del paese, ovvero:

  • la Strategia nazionale di cybersicurezza;
  • l’integrazione del quadro di gestione delle crisi informatiche, nel contesto dell’organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza, di cui all’articolo 10 del decreto-legge 4 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;
  • la conferma dell’Agenzia per la cybersicurezza nazionale quale Autorità competente NIS (Nucleo per la cybersicurezza) e punti di contatto unico e Gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale (CSIRT Italia); inoltre, l’Agenzia dovrebbe ricoprire funzioni di coordinatore delle Autorità nazionali di gestione delle crisi informatiche su vasta scala;
  • l’individuazione di Autorità di settore NIS che collaborano con l’Agenzia per la cybersicurezza nazionale.

Obblighi in materia di misure di gestione dei rischi per la sicurezza informatica

Il Decreto 138/24, richiede l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che i soggetti essenziali utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

Queste misure dovranno

  • assicurare un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti, tenuto conto delle conoscenze più aggiornate e dello stato dell’arte in materia e, ove applicabile, delle pertinenti norme nazionali, europee e internazionali, nonché dei costi di attuazione;
  • essere proporzionate al grado di esposizione a rischi del soggetto, alle dimensioni del soggetto e alla probabilità che si verifichino incidenti, nonché alla loro gravità, compreso il loro impatto sociale ed economico.

Nel decreto 138/24, si fa riferimento ad un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti.

Nel valutare quali misure di siano adeguate, i soggetti devono tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.

Inoltre devono tenere conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS.

Obblighi in materia di notifica di incidente

Nell’articolo 25 del decreto 138/24, si riporta che i soggetti essenziali e impostanti a cui si applica il Regolamento dovranno notificare senza ingiustificato ritardo, al CSIRT Italia ogni incidente che abbia un impatto significativo sulla fornitura dei loro servizi, secondo le modalità e i termini di cui agli articoli 30, 31 e 32.

Le notifiche includono le informazioni che consentono al CSIRT Italia di determinare un eventuale impatto transfrontaliero dell’incidente, ma la notifica non espone il soggetto che la effettua a una maggiore responsabilità rispetto a quella derivante dall’incidente.

Quando un incidente è considerato “Significativo”?

In base al Decreto (art.25 comma 4) un incidente è considerato significativo se:

a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;

b) ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Nell’articolo si fa riferimento ad una “pre-notifica” nel caso i soggetti essenziali o importanti vengano a conoscenza dell’incidente significativo che possa ritenersi il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero.

Ai fini della notifica dell’incidente, i soggetti devono trasmettere al CSIRT Italia, fra l’altro, anche una relazione finale entro un mese dalla trasmissione della notifica dell’incidente che descriva l’incidente ed il tipo di minaccia, la causa e l’impatto transforntaliero,

Qualora si sospetti che l’incidente significativo abbia carattere criminale, il CSIRT Italia fornisce al soggetto notificante anche orientamenti sulla segnalazione dell’incidente significativo, all’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione.

La Timeline per il recepimento della Direttiva NIS2

Posted on by

La Timeline per recepimento della NIS2 è pronto, è stato appena pubblicato in Gazzetta Ufficiale l’attesissimo decreto di recepimento in Italia della Direttiva NIS2, il quale stabilisce misure volte a garantire un livello elevato di cybersicurezza in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.

Nonostante gli inutili allarmismi che – purtroppo da più parti – si sono sollevati in questi ultimi mesi, occorre chiedersi quali siano realmente gli obblighi a cui gli attori privati e pubblici dovranno adempiere e soprattutto la vera timeline e quali i relativi termini.

Negli ultimi mesi è stato spesso veicolato ad aziende e pubbliche amministrazioni il messaggio fuorviante dell’imminente obbligo di implementare – in alcuni casi, addirittura entro il 17 ottobre 2024 – la Direttiva NIS2 e tutti i suoi onerosi e complessi adempimenti. La realtà dei fatti, tuttavia, è completamente differente.

Infatti, al fine di rendere operativi molti degli obblighi che avranno un impatto diretto sulle aziende e sulle pubbliche amministrazioni – come quello di notifica degli incidenti o di implementazione delle misure di sicurezza – il decreto di recepimento della Direttiva NIS2 richiede l’emanazione di ulteriori e successivi atti normativi. Ad esempio, soltanto entro 6 mesi dall’entrata in vigore del decreto appena emanato potremo conoscere i dettagli degli obblighi rivolti agli organi di amministrazione e a quelli direttivi, così come quelli in materia di misure di sicurezza cibernetica e di notifica degli incidenti. Addirittura, alcuni specifici adempimenti non verranno definiti prima di 18 mesi dall’entrata in vigore del decreto.

Alla luce di ciò, è opportuno sintetizzare una timeline con i principali adempimenti derivanti dal decreto, ordinandoli per data.

  • entro il 31 dicembre 2024, aziende e pubbliche amministrazioni dovranno svolgere un assessment per comprendere se siano o meno soggette agli obblighi della Direttiva NIS2, seguendo il dettato degli artt. 6 e 7, degli Allegati I, II, III e IV, nonché di ogni altro atto che verrà emanato;
  • tra il 1° gennaio e il 28 febbraio 2025, i soggetti privati e pubblici – che a seguito dell’assessment ritengano di rientrare nell’ambito di applicazione del decreto – dovranno registrarsi sulla piattaforma digitale resa disponibile da ACN fornendo le informazioni richieste dalla normativa.
  • entro il 17 gennaio 2025, dovrannoregistrarsi sulla piattaforma i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network;
  • entro il 31 marzo 2025, l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute attraverso la piattaforma;
  • tra il 1° aprile 2025 e il 15 aprile 2025, attraverso la piattaforma, l’ACN comunicherà ai soggetti registrati l’inserimento nell’elencodei soggetti essenziali o importanti;
  • entro il 15 aprile 2025, i soggetti che avranno ricevuto la comunicazione dovranno nominare con un apposito atto un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto;
  • tra il 15 aprile e il 31 maggio 2025, i soggetti che avranno ricevuto la comunicazione attraverso la piattaforma dovranno fornire le ulteriori informazioni richieste dalla normativa.

Chiusa questa fase preliminare, le aziende e le pubbliche amministrazioni che avranno ricevuto la comunicazione di inclusione da parte dell’ACN dovranno procedere con gli ulteriori adempimenti previsti nel decreto. A tal proposito, a titolo esemplificativo:

  • a partire dal 1° gennaio 2026, si dovrà adempiere all’obbligo di notifica degli incidenti;
  • entro il 1° ottobre 2026, si dovrà adempiere:
    • agli obblighi degli organi di amministrazione e direttivi;
    • agli obblighi in materia di misure di sicurezza;
    • all’obbligo di raccolta e mantenimento di una banca dei dati di registrazione dei nomi di dominio, laddove applicabile.

Stefano Mele e Flavia Bavetta ci spiegano la timeline della NIS2 con questo articolo

Supply chain e Nis2, cosa cambia nel rapporto con i fornitori

Posted on by

Supply Chain, la direttiva Nis2 introduce nuove regole per la sicurezza della supply chain delle infrastrutture critiche o importanti, con conseguenti impatti sulla gestione dei rapporti con i fornitori: ecco quali

a Direttiva Nis2 dell’Unione Europea, in arrivo nell’ottobre 2024, stabilisce nuove regole riguardanti la sicurezza delle supply chain delle infrastrutture ritenute critiche o importanti. Si apre una nuova era per queste organizzazioni e i loro rapporti con i fornitori.

Indice degli argomenti:

  1. Supply chain e Nis2, lo scenario
  2. Impatto degli attacchi cyber alla supply chain
  3. Supply chain e Nis2, cosa cambia
  4. Sanzioni
  5. Supply chain e Nis2, consigli per prepararsi

Supply chain e Nis2, lo scenario

Entro il 2024, è imperativo che la sicurezza della supply chain venga elevata a priorità. Vi è un consenso tra gli enti governativi e gli specialisti del settore sulla necessità di dedicare un’attenzione maggiore alla supply chain. È essenziale che le organizzazioni comprendano appieno le conseguenze negative di eventuali vulnerabilità nella sicurezza della supply chain e sviluppino strategie efficaci per migliorarne la protezione. Inoltre, è fondamentale garantire una diffusa consapevolezza dei rischi associati, in particolare per quanto riguarda le infrastrutture critiche o importanti.

Si ritiene che, secondo quanto affermato recentemente da Mark Ostrowski – Responsabile dell’Ingegneria per gli Stati Uniti, zona est, di Check Point – nel 2024 assisteremo ad attacchi di elevata sofisticatezza e impatto scaturiti dall’impiego dell’Intelligenza artificiale (IA) e dal Machine Learning (ML) in grado di causare violazioni dei dati su larga scala. Basti ricordare quanto accaduto lo scorso giugno 2023 con l’attacco alla supply chain del software MOVEit che ha colpito oltre 130 organizzazioni in tutto il mondo, tra cui Shell, Siemens Energy, Schneider Electric, UCLA, Sony, EY, Aer Lingus, PwC, Cognizant e AbbVie, nonché gli studi legali Kirkland & Ellis e K&L Gates. Inoltre, gli esperti del settore ritengono che ci troveremo a gestire cybercriminali che utilizzeranno sempre più vulnerabilità zero-day e tecniche di phishing per orchestrare attacchi sofisticati alla supply chain.

Impatto degli attacchi cyber alla supply chain

Come già menzionato, l’impatto degli attacchi alla supply chain può essere vasto e avere conseguenze significative. In particolare, la compromissione delle infrastrutture critiche può impedire ai cittadini di una nazione di lavorare, frequentare istituzioni educative o accedere alle risorse necessarie per la sopravvivenza.

L’attacco al Colonial Pipeline del 2021 – che ha causato un panico diffuso riguardante le risorse energetiche e messo a rischio aziende e individui – è diventato un esempio emblematico degli attacchi alle infrastrutture critiche e delle relative conseguenze sulla supply chain, evidenziando l’urgenza di affrontarne proattivamente la sicurezza.
Inoltre, gli attacchi che compromettono le infrastrutture critiche costituiscono una minaccia diretta alla sicurezza nazionale, rendendo una nazione suscettibile a un vasto spettro di aggressioni, sia nel dominio cibernetico sia in quello fisico.

Supply chain e Nis2, cosa cambia

La NIS2, all’interno dell’Unione Europea, prevede specifiche normative concernenti la sicurezza della supply chain. Di fatto, la Nis2 è stata progettata principalmente per proteggere le infrastrutture critiche e, nel medio e lungo termine, si ritiene interesserà tutte le aziende che operano in Europa. Inizialmente, però, si applicherà principalmente agli operatori di infrastrutture critiche (essenziali), e organizzazioni vitali (importanti) per il corretto funzionamento dei sistemi economico, legale e sanitario. Di seguito la definizione delle organizzazioni oggetto delle NIS2 e, precisamente:

  1. Infrastrutture essenziali – Si identificano in grandi imprese attive nei settori dell’energia, dei trasporti, bancario, finanziario, sanitario, della gestione delle acque (sia potabili che reflue), delle infrastrutture digitali, della fornitura di servizi ICT in ambito business-to-business (B2B), aerospaziale e della pubblica amministrazione.
  2. Infrastrutture importanti – Si articolano in sette categorie principali: servizi postali e di corriere, gestione dei rifiuti, settore chimico, industria alimentare, settore manifatturiero, servizi digitali e istituti di ricerca.

Entro ottobre 2024, tutti gli Stati membri dell’Unione Europea dovranno aver recepito i requisiti della Direttiva Nis2 nel loro ordinamento giuridico nazionale, obbligando le organizzazioni interessate a adottare adeguate misure di sicurezza da tale data in poi. Va considerato che l’implementazione di progetti per il rafforzamento della cybersecurity può richiedere tempi significativi, spesso prolungandosi per anni. Attualmente, numerose organizzazioni non sono dotate di un adeguato sistema di gestione della cybersecurity, non raccolgono dati critici per gli indicatori di performance né effettuano audit di sicurezza. Aspetti che assumeranno sempre più un’importanza cruciale in futuro. Pertanto, si raccomanda alle organizzazioni interessate di iniziare immediatamente a prendere seriamente in considerazione l’allineamento ai requisiti della Nis2.

Va enfatizzato, inoltre, che le organizzazioni che trascurano di conformarsi ai dettami della Nis2 rischiano di compromettere le proprie relazioni commerciali. La Direttiva Nis2 sottolinea, infatti, che le misure di sicurezza devono essere estese non solo all’entità stessa, ma anche ai suoi fornitori e subappaltatori che giocano un ruolo essenziale nel garantire l’operatività e la resilienza dell’azienda.

Di conseguenza, qualora un fornitore presenti lacune significative che influenzano la supply chain, l’ente soggetto alla Nis2 sarà costretto a sostituirlo per preservare la sua resilienza operativa.

Inoltre, molte aziende decideranno di interrompere le relazioni con quei fornitori che non dimostrano di poter garantire un adeguato livello di protezione contro gli attacchi informatici.

È doveroso evidenziare che la Direttiva Nis2 estende la sua applicabilità a un numero considerevolmente maggiore di aziende rispetto alle disposizioni attualmente in vigore con la Nis, oltre ad un cambiamento significativo anche per quanto riguarda le dimensioni delle imprese coinvolte, includendo medie e grandi aziende che impiegano 50 o più lavoratori o che registrano un fatturato di almeno 10 milioni di euro, senza distinzione basata sulle prestazioni o sulla struttura organizzativa.

Sanzioni

Il mancato rispetto delle direttive e degli obblighi di segnalazione imposti dalla Direttiva NIS2 comporta l’applicazione di rigide sanzioni. Le aziende che non si adeguano alle disposizioni possono incorrere in multe che possono raggiungere i 10 milioni di euro o il 2% del fatturato globale. Questa misura evidenzia l’alto grado di importanza che l’Unione Europea assegna alla cybersecurity, paragonabile a quella riservata alla tutela dei dati personali.

La Direttiva NIS2, pur introducendo rigide sanzioni e ampliando i requisiti di conformità, rappresenta un notevole passo avanti. Infatti, obbligando le organizzazioni a integrare la cybersecurity nelle strategie operative, consente di mitigare efficacemente le minacce provenienti dal cyberspazio. In prospettiva, questo approccio, non solo rafforza la sicurezza digitale, ma offre anche alle organizzazioni l’opportunità di beneficiare a lungo termine di un ecosistema digitale più protetto e resiliente.

Come garantire la resilienza aziendale

La Direttiva Nis2 supera la mera aspirazione alla prevenzione degli attacchi informatici, un traguardo che si rivela progressivamente utopico di fronte all’aumento degli attacchi e all’evoluzione della sofisticatezza dei cybercriminali. L’essenza della Nis2 risiede nel potenziamento della resilienza aziendale; ciò significa che le organizzazioni devono essere preparate, non solo a resistere agli assalti informatici, ma anche a ripristinare celermente le proprie funzioni, minimizzando gli impatti degli attacchi. In sostanza, l’obiettivo è garantire che gli attacchi informatici, anche quando riescono a penetrare le difese, non abbiano la capacità di compromettere in modo significativo le attività aziendali o governative sul lungo termine. Pertanto, se un’organizzazione si dimostra incapace di offrire tali garanzie, si troverà inevitabilmente esclusa dalla supply chain.

Ne consegue che il top management dovrà riflettere su tre questioni fondamentali, ovvero:

  1. Quando avverrà il prossimo attacco informatico.
  2. Quanto l’organizzazione è sufficientemente resistente e resiliente da poter continuare a operare.
  3. Quanto l’organizzazione sia adeguatamente preparata ad affrontare gli attacchi informatici.

Si tratta, di fatto, di anticipare l’imprevedibile certezza del rischio cyber e strutturarsi adeguatamente

Supply chain e Nis2, consigli per prepararsi

Le organizzazioni interessate, per essere conformi alla Direttiva Nis2, dovranno essere in grado di adottare una risposta proattiva che implica l’adozione di un approccio strutturato e, soprattutto, uno sforzo di preparazione continuo per assicurare che gli attacchi informatici non incidano gravemente sull’operatività aziendale. A tal fine, è essenziale che tali organizzazioni valutino attentamente almeno i seguenti aspetti:

  1. Identificazione degli asset e delle risorse aziendali, comprensione della proprietà, valutazione dei rischi associati e identificazione delle vulnerabilità.
  2. Identificazione dei potenziali bersagli degli hacker all’interno dell’azienda.
  3. Implementazione di sistemi di Identity & Access Management.
  4. Definizione delle modalità e dei luoghi di archiviazione dei dati, nonché delle persone autorizzate al loro utilizzo.
  5. Restrizione dell’accesso agli utenti ai soli dati necessari, con la conservazione di tutti gli altri dati in ambienti protetti.
  6. Valutazione critica dell’opportunità di migrare le informazioni aziendali sul cloud.
  7. Definizione delle procedure e piani di Emergency, Disaster Recovery, Business Continuity Crisis Management, Crisis Communication (che devono sempre essere testati, esercitati e aggiornati) da attuare in caso di attacco informatico 24 ore su 24, 7 giorni su 7.
  8. Analisi dettagliata degli incidenti di sicurezza.
  9. Identificazione di partner in grado di fornire supporto tempestivo in situazioni di emergenza.
  10. Esplorazione di collaborazioni con altre aziende per soddisfare collettivamente i requisiti imposti dalla direttiva.

A fronte di quanto sopra, è quanto mai fondamentale valutare con celerità il livello di maturità informatica di un’organizzazione e procedere alla pianificazione delle strategie di sicurezza e delle capacità di risposta in modo da garantirne una protezione efficace contro gli attacchi informatici e facilitare le lessons learned scaturite da eventuali incidenti pregressi. Ovvero, nell’implementare la Direttiva Nis2, si tratta di adottare un approccio risk-based e resilience-based per garantire la necessaria cyber resilience della supply chain quale intersezione dei principi di Risk Management, Business Continuity e Cybersecurity.

NIS, avrebbe potuto prevenire gli incidenti nell'ultimo anno.

Posted on by

NIS e NIS2, spesso l'UE viene criticata per le tante norme e regole che impone. In alcuni casi, infatti, aziende e intere industrie hanno puntato il dito contro i tanti lacci e laccetti che imbrigliano le imprese, rischiando di porre un freno all'innovazione. Per esempio, è quello che sta accadendo recentemente con l'UE AI Act, contestato dai big del settore (in particolare statunitensi, ma non solo) in quanto considerato troppo limitante per chi sviluppa sistemi di IA. 

Altri regolamenti, però, sono considerati di estrema importanza per il settore di riferimento, come nel caso di NIS 2, un framework di sicurezza progettato per garantire che le aziende che operino in settori critici abbiamo un livello minimo di sicurezza certificato. Secondo un'indagine di Veeam, se già le imprese fosse conformi a NIS 2  lo scorso anno sarebbe stato possibile evitare alcuni incidenti informatici, 

Cosa è NIS 2?

NIS 2 è un set di regole mirato ad assicurare un livello minimo di sicurezza nella aziende che operano in settori critici. NIS 2 non si applica a tutte le imprese, ma solamente quelle sopra una certa dimensione attive in settori specifici: sanità, manifattura, farmaceutico, food & beverage, finanza, Pubblica Amministrazione e via dicendo. E avrà un impatto anche sui fornitori, anche se non direttamente specificati dalla norma. Le aziende che infatti si affidano a questi, dovranno garantire che anche i propri fornitori aderiscano a specifici standard di sicurezza. Sarà in vigore a partire dal 18 ottobre.

Le aziende saranno pronte? Come al solito, no, non tutte per lo meno. Secondo un'indagine svolta da Veeam, infatti, nonostante quasi l'80% delle aziende sia fiducioso nella propria capacità di adeguarsi alle linee guida NIS2, fino a due terzi dichiara che non riuscirà a rispettare questa scadenza. Non è l'unico dato che emerge: secondo l'analisi, solo il 43% dei decision-makers IT dell’area EMEA ritiene che la NIS2 migliorerà significativamente la sicurezza informatica dell'UE, nonostante uno schiacciante 90% abbia segnalato almeno un incidente di sicurezza che la direttiva avrebbe potuto prevenire negli ultimi 12 mesi. È allarmante notare che il 44% degli intervistati ha subito più di tre incidenti informatici e il 65% di questi è stato classificato come “altamente critico”.

veeam NIS 2

Insomma: ancora oggi, nonostante i dati ci dicano che a livello globale gli attacchi informatici sono sempre più frequenti e impattanti, sono ancora presenti tante aziende che sopravvalutano la loro capacità di reagire a un incidente informatico.

le difficoltà per le aziende durante il processo di adeguamento

Secondo l'analisi di Veeam, condotta su un campione di 500 decision maker in Belgio, Francia, Germania, Paesi Bassi e Regno Unito, le principali sfide includono il debito tecnico (24%), la mancanza di comprensione da parte della leadership (23%) e l'insufficienza di budget/investimenti (21%). 

Sicuramente la leadership ha le sue responsabilità: NIS 2 non arriva come un fulmine a ciel sereno. Se ne parla da anni, e la sua entrata in vigore era nota da molto tempo. Nonostante questo, molte realtà hanno preferito prendersela con comodo.  Addirittura il 40% degli intervistati ha riferito di aver diminuito i budget IT da quando è stato proclamato l'accordo politico per il NIS2 nel gennaio del 2023. Un atteggiamento decisamente miope, considerati non solo i rischi informatici, ma anche le multe per chi non si adegua, che possono essere molto salate. 

C'è anche un certo scetticismo da parte di numerose imprese: Il 74% degli intervistati ritiene che la NIS2 sia vantaggiosa, ma il 57% dubita che avrà un impatto sostanziale sulla posizione complessiva dell'UE in materia di sicurezza informatica. La sfiducia non è l'unico problema: pesano le tempistiche ristrette (19%), la carenza di competenze specifiche (19%), i silos organizzativi (19%).

Come prevedibile, insomma, in tanti sono arrivati in ritardo all'appuntamento, nonostante le scadenze fossero note da tempo. Un problema dovuto sì alla carenza di budget e competenze interne, ma anche da una consapevolezza ancora bassa sui rischi informatici.

"La NIS2 porta la responsabilità della cybersecurity al di là dei team IT, fino alla sala del consiglio di amministrazione", afferma Andre Troskie, EMEA Field CISO di Veeam. "Sebbene molte aziende riconoscano l'importanza di questa direttiva, le difficoltà di adeguamento riscontrate nell'indagine evidenziano problemi sistemici significativi. La pressione combinata di altre priorità aziendali e delle sfide informatiche può spiegare i ritardi, ma ciò non diminuisce l'urgenza. Data la crescente frequenza e gravità delle minacce informatiche, i potenziali vantaggi della NIS2 nella prevenzione degli incidenti critici e nel rafforzamento della resilienza dei dati non possono essere sopravvalutati. I team dirigenziali devono agire rapidamente per colmare queste lacune e garantire la conformità, non solo per motivi normativi, ma per migliorare realmente la solidità dell'organizzazione e proteggere i dati critici”.

Security Awareness (Cyber)

Posted on by

Security Awareness è la consapevolezza dei dipendenti aziendali di tutte le possibili minacce e rischi nell'ambito della sicurezza delle informazioni, della sicurezza informatica e della privacy. Si tratta di comprendere le potenziali conseguenze di comportamenti non sicuri e irresponsabili nell'ambiente digitale e fisico. Vuol dire adottare misure proattive per garantire la sicurezza dei dati e prevenire gli incidenti.

Un programma di sensibilizzazione alla sicurezza solido e ben congegnato è sempre più importante per le organizzazioni, indipendentemente dalle dimensioni o dal settore. In un'epoca in cui le minacce informatiche cambiano continuamente e diventano sempre più sofisticate, è essenziale che i dipendenti siano consapevoli dei pericoli e dei rischi per la sicurezza. È importante che sappiano come riconoscere e affrontare potenziali incidenti e minacce informatiche. Attraverso la nostra piattaforma di apprendimento della Security Awareness, disponibile in nove lingue, puoi formare i tuoi dipendenti contro le minacce digitali.

Attivare un programma di sensibilizzazione alla sicurezza informatica aziendale

Maggiore sicurezza digitale

Rendendo i dipendenti consapevoli dei potenziali rischi, le aziende possono migliorare la sicurezza dei loro sistemi e dei loro dati. I dipendenti vengono addestrati a riconoscere le e-mail di phishing, utilizzare password forti, segnalare attività sospette e seguire le procedure corrette per prevenire le violazioni dei dati.

Rischi di attacchi alla cyber security ridotti

La mancanza di consapevolezza in materia di sicurezza può portare errori e omissioni non intenzionali che possono causare incidenti di sicurezza. Rendendo i dipendenti consapevoli delle potenziali conseguenze delle loro azioni, le aziende possono ridurre significativamente il rischio di violazioni di dati, attacchi ransomware e altre minacce.

Protezione della reputazione aziendale

Un attacco di sicurezza riuscito può portare non solo a perdite finanziarie, ma anche a gravi danni alla reputazione. Investendo in un solido programma di sensibilizzazione alla sicurezza, le aziende dimostrano di prendere sul serio la protezione dei dati e di meritare la fiducia dei propri clienti.

Sviluppare una cultura della sicurezza

La Security Awareness va oltre la semplice formazione dei dipendenti, crea una cultura della sicurezza in cui tutti nell'organizzazione fanno la loro parte. I dipendenti imparano non solo ad assumersi la responsabilità di proteggere i dati ma sono anche incoraggiati a essere proattivi nello scoprire e segnalare le minacce digitali.

Svantaggi di una mancanta consapevolezza della sicurezza

Violazioni dei dati

La mancanza di consapevolezza della sicurezza può portare alla divulgazione involontaria di dati sensibili (aziendali/personali). Questo accade, ad esempio, quando i dipendenti inviano accidentalmente informazioni riservate alla persona sbagliata o diventano vittime di attacchi di phishing e condividono inconsapevolmente i propri dati di accesso con i criminali informatici.

Perdite finanziarie

Gli incidenti di sicurezza possono avere conseguenze finanziarie significative per le organizzazioni. Si va dal ripristino dei sistemi dopo un attacco ransomware al pagamento di multe per la mancata conformità alle norme sulla privacy.

Danni alla reputazione

Quando un'organizzazione subisce un incidente di sicurezza può causare una perdita di fiducia da parte di clienti o partner. Riparare una reputazione danneggiata può richiedere molto tempo e potrebbe non essere sempre del tutto possibile.

Implicazioni legali

La mancanza di consapevolezza della sicurezza può portare i dipendenti o le organizzazioni a violare involontariamente la legislazione. La mancata osservanza delle leggi e dei regolamenti sulla protezione dei dati può avere conseguenze legali, come multe e procedimenti giudiziari.

Importanza e consapevolezza della sicurezza sul posto di lavoro

La security Awareness è fondamentale per le organizzazioni nell'era digitale. Investendo in un solido programma di Security Awareness, le organizzazioni possono proteggere i propri dati, ridurre i rischi e promuovere una cultura della sicurezza.

Rendi la tua organizzazione meno vulnerabile alle minacce informatiche. Assicurati di avere un personale ben informato e consapevole che prenda sul serio la protezione delle informazioni (sensibili).

 

ISO/IEC 27001

Posted on by

ISO/IEC 27001 è una certificazione di Sicurezza (Sicurezza delle informazioni, cybersecurity e protezione della privacy); la Direttiva NIS2 fa riferimento specifico a tale standard. Sebbene la ISO/IEC 27001 e la Direttiva NIS2 abbiano scopi diversi, si completano a vicenda in modo efficace. ISO 22301, invece, copre aspetti della gestione della continuità operativa (BCM, Business Continuity Management), il che rafforza ulteriormente l'approccio completo all'implementazione della NIS2.

In primo luogo, è importante notare che il nome completo della ISO 27001 è "ISO/IEC 27001 - Tecnologia dell'informazione - Tecniche per la sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti".

È la principale norma internazionale incentrata sulla sicurezza delle informazioni, pubblicata dall’International Organization for Standardization (ISO), in collaborazione con la International Electrotechnical Commission (IEC). Entrambi sono importanti organizzazioni internazionali che sviluppano norme internazionali.

La ISO-27001 fa parte di una serie di norme sviluppate per gestire la sicurezza delle informazioni: la serie ISO/IEC 27000.

L’impianto ISO e lo scopo della ISO 27001

L’impianto ISO è una combinazione di politiche e processi da utilizzare per le organizzazioni. La ISO 27001 fornisce un impianto per aiutare le organizzazioni, di qualsiasi dimensione o settore, a proteggere le proprie informazioni in modo sistematico ed economico, attraverso l'adozione di un sistema di gestione della sicurezza delle informazioni (ISMS).

ISO 27001 e GDPR

ISO/IEC 27001 è un punto di partenza per raggiungere i requisiti tecnici e operativi richiesti dal Regolamento generale sulla protezione dei dati (GDPR, anche conosciuto come RGPD) per prevenire una violazione dei dati. Infatti, il Regolamento afferma che le imprese devono adottare politiche, procedure e processi appropriati per proteggere i dati personali in loro possesso.

Nello specifico, un’azienda che ha implementato lo Standard ha già fatto almeno la metà del lavoro richiesto per raggiungere la piena conformità al GDPR, minimizzando il rischio di violazione dei dati.

Il GDPR offre indicazioni su come evitare una violazione dei dati?

L’articolo 32 dichiara che sono necessarie misure tecniche per proteggere i dati e richiede specificatamente alle imprese, a seconda dei casi, di:

  • Adottare misure per la pseudonimizzazione e cifratura dei dati personali;
  • Garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione;
  • Ripristinare la disponibilità e l’accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico;
  • Implementare un processo per testare e valutare ad intervalli regolari l’efficacia delle misure tecniche ed organizzative per garantire la sicurezza del trattamento.

Inoltre, l’articolo 32 prevede che i rischi derivanti “dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso in modo accidentale o illegale a dati personali” siano identificati e mitigati.

Sebbene fornisca esempi di misure e controlli di sicurezza, l’articolo non fornisce indicazioni dettagliate su cosa si dovrebbe fare per evitare una violazione dei dati.

Nonostante ciò, il GDPR invita le aziende ad adottare le migliori pratiche e raccomandazioni esistenti in materia, come lo standard ISO 27001.

Come ISO 27001 può aiutarti a rispettare il GDPR

ISO 27001 è uno standard di gestione internazionale che fornisce un quadro comprovato per la gestione della sicurezza delle informazioni. Utilizza un insieme integrato di politiche, procedure, documenti e tecnologie raccomandate sotto forma di un Sistema di gestione della sicurezza delle informazioni (ISMS, conosciuto anche come SGSI in italiano).

NIS 2

Posted on by

NIS 2, non è solo una necessità legale, la conformità alla Direttiva NIS 2 rappresenta un’opportunità per ogni azienda di migliorare la sua sicurezza, efficienza operativa e reputazione. In che modo un consulente guida le aziende attraverso questo processo.

L’evoluzione tecnologica – con particolare riferimento agli strumenti di intelligenza artificiale, ma anche alla connessione costante di tutti i device privati e professionali nonché alla modalità di lavoro agile (smart working) sdoganata durante l’emergenza pandemica – implica un cyber risk sempre più elevato. In questo quadro si inserisce la Direttiva (UE) 2022/2555, meglio nota come Direttiva NIS 2 (Network and Information Security Directive), che – pubblicata in Gazzetta Ufficiale dell’Ue il 27 dicembre 2022 ed entrata in vigore il 17 gennaio 2023 – costituisce un avanzamento significativo nella legislazione europea per la sicurezza delle reti e delle infrastrutture digitali.

Di fatto, è stata proprio una rilevante accelerazione del rischio di cybersecurity che ha indotto l’Europa a rivedere in modo profondo la precedente Direttiva NIS 2016/1148, emanando la NIS 2. Compiendo un indispensabile passo in avanti nel campo della resilienza digitale e della gestione delle minacce informatiche. Un avanzamento significativo nella legislazione europea per la sicurezza delle reti e delle infrastrutture digitali; un quadro normativo volto a rafforzare la cyberscurity all’interno dell’Ue, con particolare attenzione ai settori critici come energia (tra i temi più attuali c’è la vulnerabilità nel comparto Energy & Utilities), trasporti e servizi finanziari.

Le aziende, dunque, sono chiamate a conformarsi a diversi requisiti fondamentali entro il 18 ottobre 2024, adottando una serie di misure tecniche e organizzative adeguate non solo per proteggere i loro sistemi e dati informatici, ma anche per prevenire (o comunque minimizzare) gli impatti degli incidenti informatici. E per segnalare tempestivamente gli incidenti significativi alle autorità competenti.

Sanzioni per le imprese in caso di mancato adempimento

In particolare, le disposizioni normative della NIS 2 si applicano a due categorie di soggetti definiti come “essenziali” e “importanti”. Soggetti che non operano esclusivamente nei comparti in origine previsti dalla Direttiva NIS (dal settore Energy & Utilities a quello dei trasporti alla sanità), ma forniscono anche una serie di servizi altrettanto critici (a titolo di esempio: quelli postali e dei corrieri; di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica. E ancora, dai servizi legali a quelli della grande distribuzione alimentare).

La Direttiva NIS 2 prevede che gli operatori inclusi nel suo campo di applicazione debbano approntare misure tecniche, operative e organizzative consone e proporzionate per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti. E le aziende che non si allineano? Per loro i rischi sono molteplici e (potenzialmente) devastanti. In primis, la non conformità può determinare severe sanzioni legali dirette nei confronti di amministratori e finanziarie (sanzioni che possono incidere significativamente sul bilancio aziendale). Senza un sistema di monitoraggio delle normative e compliance adeguato, infatti, le aziende potrebbero non essere in grado di rilevare in modo tempestivo gli incidenti di sicurezza, con conseguenti danni alla reputazione e una riduzione della fiducia di clienti e partner.

Ulteriore, rilevante aspetto è che gli attacchi informatici possono causare interruzioni operative, con conseguenti perdite economiche e inefficienze. Con l’aumento delle cyberminacce, poi, le aziende non conformi diventano bersagli più facili per gli attaccanti. Infine, l’incapacità di predire e prevenire i guasti attraverso l’analisi dei dati e l’intelligenza artificiale può portare a interventi di manutenzione reattivi piuttosto che proattivi, incrementando i tempi di inattività e riducendo la disponibilità dei servizi. Non tralasciando il fatto che la mancanza di integrazione con i sistemi esistenti all’interno dell’azienda rischia di causare discontinuità nella gestione degli asset, complicando ulteriormente il processo di compliance e gestione del rischio.

Benefici della conformità alla NIS 2

Allinearsi alla Direttiva NIS 2 non solo evita i rischi potenziali, ma offre anche alle aziende una serie di vantaggi strategici e operativi. Certificando un impegno concreto nella protezione dei dati e dei sistemi e aumentando la fiducia di clienti, partner e investitori. Implementare le misure previste dalla NIS 2 – grazie a strumenti e soluzioni tecnologiche mirati –, equivale a rafforzare significativamente la protezione contro gli attacchi informatici, migliorando la resilienza dell’infrastruttura aziendale.

Tra i principali benefici raggiungibili c’è il monitoraggio in tempo reale degli asset aziendali IT (Information Technology), OT (Operational Technology) e IoT (Internet of Things), finalizzato a fornire una visibilità immediata sullo stato dei dispositivi e delle reti (la visibilità costituisce le basi della sicurezza, e offre alle organizzazioni gli strumenti per monitorare, analizzare e tutelare la loro infrastruttura digitale in modo efficiente). Ciò permette di rispondere velocemente ad eventuali problemi, automatizzando le remediation sugli asset aziendali, riducendo i tempi di inattività e migliorando l’efficienza operativa.

La conformità alla NIS 2 da parte delle aziende facilita poi l’adozione di misure avanzate – come la gestione di accessi e identità (IAM) e l’autenticazione a più fattori (MFA) –, che migliorano la sicurezza operativa e riducono i rischi di accessi non autorizzati. L’uso di strumenti specifici per questo contesto permette un’analisi degli eventi e predizione di guasti mediante l’intelligenza artificiale, a vantaggio di interventi preventivi e di una maggiore disponibilità dei servizi.

Inoltre, sarebbe semplificata l’automatizzazione sulla valutazione del rischio (Risk Management), riducendo il carico di lavoro e migliorando la precisione delle valutazioni. Senza dimenticare che, per un’azienda, essere conforme alla NIS 2 agevola anche l’adeguamento ad altre normative di sicurezza e standard internazionali, come l’IEC 62443 (lo standard internazionale per la cybersicurezza dei sistemi di controllo industriale) oppure il NERC CIP (il “Programma di protezione delle infrastrutture critiche della North American Electric Reliability Corporation”, costituito da una serie di requisiti internazionali mirati ad assicurare l’infrastruttura critica per il Bulk Electric System del Nord America).

Affrontare le sfide della cybersecurity

Le imprese sono dunque chiamate a ricoprire un ruolo attivo nella protezione dei propri sistemi informativi, per limitare il rischio di attacchi informatici e assicurare la continuità operativa aziendale. Grazie alla sua vasta esperienza e alla partnership con fornitori di soluzioni tecnologiche avanzate, la MBLI S.a.s. è in grado di assistere le aziende nel percorso di conformità alla Direttiva NIS 2, effettuando – attraverso strumenti automatizzati per il risk scoring delle reti OT – una valutazione completa dei rischi e della conformità Cyber Security. La business unit volta a fornire ai propri clienti e partner una serie di attività e soluzioni che permettano di elevare il livello di sicurezza delle loro infrastrutture, collabora con i fornitori leader per implementare soluzioni di monitoraggio continuo, gestione delle anomalie e segmentazione IT/OT.

MBLI S.a.s. offre soluzioni e consulenza per migliorare la consapevolezza sull’utilizzo dei sistemi informatici all’interno delle organizzazioni (security awareness) e le pratiche da seguire per ridurre al minimo i rischi di cybersecurity. Fornisce supporto costante per il mantenimento della conformità, inclusa la gestione degli accessi ai dati e la loro protezione attraverso crittografia. Un esempio concreto delle soluzioni offerte da Sielte comprende l’adozione di strumenti per il monitoraggio continuativo delle infrastrutture e la rilevazione di cyberminacce industriali, come i sistemi di controllo centrale e i collettori intelligenti per reti industriali distribuite.

Strumenti, questi, che non solo facilitano la conformità alla NIS 2 e ad altri standard di sicurezza, ma offrono anche la possibilità di remediation automatica dell’IT, permettendo di identificare e risolvere rapidamente le minacce. Naturalmente, correlati a questo servizio, MBLI S.a.s. è in grado di erogare i suoi servizi gestiti in ambito cybersecurity e networking, forte delle competenze e partnership di primo livello che caratterizzano l’azienda.