Conformità Direttiva NIS 2

Normativa europea NIS2

La Direttiva NIS 2, con entrata in vigore prevista al 18 ottobre 2024 come evoluzione della Direttiva sulla Network and Information Security del 2018, suddivide i settori critici in due diverse categorie di rilevanza:

  • Settori essenziali, che comprendono le organizzazioni che superano per dimensione la media impresa e forniscono servizi nei settori indicati nell’Allegato I ossia energia (elettrica, petrolio, gas), trasporto (aereo, ferroviario, via acqua, via strada), settore sanitario, acqua potabile, acque reflue, Pubblica Amministrazione, spazio, infrastrutture digitali (fra cui servizi di cloud computing, DNS, servizi di content delivery network)
  • Settori importanti, medie imprese che forniscono servizi nei settori indicati nell’Allegato II, categoria che non era presente nella prima Direttiva e che si aggiunge agli obblighi di legge proprio in questa seconda revisione

Rientrano nei servizi essenziali:

  • Energia (elettrica, petrolio, gas)
  • Trasporto (aereo, ferroviario, via acqua, via strada)
  • Settore sanitario
  • Acqua potabile
  • Acque reflue
  • Pubblica Amministrazione
  • Spazio
  • Infrastrutture digitali (fra cui servizi di cloud computing, DNS, servizi di content delivery network)

Rientrano nei servizi importanti:

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Fabbricazione, produzione e distribuzione di sostanze chimiche
  • Produzione, trasformazione e distribuzione di alimenti
  • Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro
  • Fabbricazione di computer e prodotti di elettronica e ottica
  • Fabbricazione di apparecchiature elettriche
  • Fabbricazione di macchinari e apparecchiature n.c.a.
  • Fabbricazione di autoveicoli, rimorchi e semirimorchi
  • Fabbricazione di altri mezzi di trasporto
  • Servizi digitali, come motori di ricerca e piattaforme di social network

Ognuno dei soggetti interessati è tenuto ad applicare le misure elencate nell’Art. 21, comma 2, fra cui, ad esempio, l’adozione di politiche di analisi dei rischi e di sicurezza dei sistemi, policy per la gestione degli incidenti, pratiche di igiene informatica di base e formazione.

Cosa possiamo fare per voi se la vostra attività è considerata critica:

All’interno del settore, e in attesa del recepimento della Direttiva NIS 2, è necessario applicare i codici ATECO. Convenuto che il settore con il quale interagite rientra in una delle categorie elencate dagli All. I e II della Direttiva, il nostro servizio di consulenza prevede un’attività di audit iniziale, per evidenziare i gap da colmare rispetto agli adempimenti richiesti in ambito NIS 2 (art. 21).
La GAP Analysis:

  • Scopo di analizzare lo stato delle misure richieste dall’art. 21, il livello di maturità e di copertura, in riferimento al perimetro cibernetico dell’infrastruttura finale da proteggere
  • Quello che facciamo è valutare gli adempimenti sotto NIS 2 e le vostre modalità di risposta
  • Risultato finale sarà la vostra presa di coscienza dei GAP in ambito NIS 2, per i quali vi aiuteremo a stimare e programmare le misure di adeguamento
Successive fasi di lavoro, da attivare in maniera modulare in base alle vostre necessità:

1) Supporto alla Governance

  • Supporto nella scelta del framework di riferimento più idoneo (NIST/IEC 62443), ed integrazioni con ISO 27001
  • Definizione delle responsabilità, organigrammi e job description per la cybersecurity
  • Definizione dei metodi, dei criteri e dei metodi per l’analisi dei rischi e della sicurezza dei sistemi
  • Definizione delle procedure per la gestione degli incidenti, mitigazione degli impatti e sistema di notifica
  • Analisi di tipo BIA (ISO 22317) per la continuità operativa, piani di business continuity e di disaster recovery
  • Analisi e messa in sicurezza della supply chain, definizione dei criteri di qualifica dei fornitori
  • Change Management, sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi
  • Definizione delle strategie, KPI/KRI e valutazione dell’efficacia delle misure di gestione dei rischi
  • Definizione delle Policy per i sistemi OT
  • Formazione del personale coinvolto nella cybersecurity
  • Procedure per la gestione degli asset e della documentazione
  • Procedure per la gestione delle vulnerabilitàe per l’aggiornamento dei sistemi OT
  • Sviluppo dei manuali per i sistemi di gestione della sicurezza e documentazione connessa
  • Esecuzione degli audit periodici sul livello di conformità e sicurezza

2) Supporto Tecnico

  • Valutazione dei rischi di cybersecurity
  • Cybersecurity Assessment del sito e analisi delle vulnerabilità
  • High Level Design sulle architetture del sito, piani di indirizzamento, segmentazione e segregazione delle reti
  • Supporto per la gestione dei fornitori e degli integratori, sviluppo delle specifiche tecniche, verifica e monitoraggio dei fornitori, procedure di collaudo FAT/SAT in merito alla cybersecurity
  • Sviluppo dei piani di Harderning dei dispositivi
  • Patch Management, supporto nella scelta delle soluzioni tecniche più idonee in funzione delle applicazioni e dei vendor utilizzati
  • Supporto nella scelta delle soluzionidi IDS, accesso remoto, gestione accessi
Contattaci per ottemperare ai requisiti della Direttiva NIS 2 con l’aiuto della consulenza.

Cosa cambia fra la Direttiva NIS e la Direttiva NIS 2?

La Direttiva NIS 2 nasce dalla revisione della NIS per garantire la effettiva continuità dei servizi essenziali in caso di eventi critici; servizi nel tempo diventati irrinunciabili per accelerare la trasformazione digitale a livello sociale, e, inesorabilmente, sempre più spesso presi di mira dalle intrusioni malevole, ampliando il campo di applicazione a un maggior numero di settori, categorizzati in base alla loro importanza.

A chi si applica la Direttiva NIS 2?

Detto che gli operatori sotto NIS devono essere considerati soggetti essenziali anche ai fini della NIS 2, la Direttiva aggiornata considera settori critici tutte le organizzazioni che superano per dimensione la media impresa e forniscono servizi nei settori indicati nell’Allegato I, ossia:
  • Energia (elettrica, petrolio, gas)
  • Trasporto (aereo, ferroviario, via acqua, via strada)
  • Settore sanitario
  • Acqua potabile
  • Acque reflue
  • Pubblica Amministrazione
  • Spazio
Inoltre, la NIS 2 aggiunge all’elenco dei soggetti interessati anche le medie imprese che forniscono servizi nei settori indicati nell’Allegato II, definiti “soggetti importanti”, in cui rientrano, ad esempio:
  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Fabbricazione, produzione e distribuzione di sostanze chimiche
  • Produzione, trasformazione e distribuzione di alimenti
  • Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro
  • Fabbricazione di computer e prodotti di elettronica e ottica
  • Fabbricazione di apparecchiature elettriche
  • Fabbricazione di macchinari e apparecchiature n.c.a.
  • Fabbricazione di autoveicoli, rimorchi e semirimorchi
  • Fabbricazione di altri mezzi di trasporto

Quando entrerà in vigore la Direttiva NIS 2?

L'entrata in vigore della Direttiva NIS 2 è prevista per il 18 ottobre 2024. Così come avvenuto per la prima Direttiva del 2018, gli Stati membri avranno un tempo definito per recepire i nuovi requisiti. Ad esempio, nel caso della prima Direttiva NIS, gli Stati membri avevano tempo fino al 9 maggio 2018 per recepire le regole nell’ordinamento nazionale e stabilire le sanzioni pecuniarie per la mancata conformità con la Direttiva. In Italia questo passo è stato segnato dal D.lgs. n.65 del 18 maggio 2018.

Proteggi i dati con Aconet

Le minacce degli hacker sono in continuo aumento, le metodologie utilizzate sono costantemente innovate pertanto la protezione da questi eventi malevoli non può essere automatica e riferita a soli firewall, sono necessari approcci diversi che garantiscono in real time il monitoraggio dei tuoi sistemi.
Il rischio non è solo quello di rendere un servizio inoperativo per poche ore, ma di perdere il patrimonio aziendale, i tuoi dati sono digitali e se vengono criptati od eliminati, senza le appropriate metodologie di sicurezza e prevenzione, il danno è inimmaginabile.
image

Articoli Consigliati

rss_feedRSS

Per software house o web agency che producono applicativi con elevato numero di release, oppure per chi ritiene che la sicurezza sia un aspetto fondamentale del proprio business, Aconet è in grado di realizzare un sistema di monitoraggio delle vulnerabilità in continuous.
Nell’ottica di un di Cybersecurity “as a service”, Aconet si propone come gestore della security aziendale, con comprovata esperienza in svariati settori: farmaceutico, gaming, automotive, turismo, editoriale, finanziario.
Con questo approccio, l’implementazione di un sistema basato sulla capacità di aggregare dati significativi, provenienti da molteplici fonti (server, router, firewalling, switch, antiDDoS), stabilendo in tempo reale analisi e correlazioni finalizzate a individuare comportamenti anomali, segnali critici e a generare allarmi, il risultato sarà quello di rispondere alle esigenze più critiche di incident response, compliance ed anche in ambito di analisi forensi.
I ruoli aziendali quali IT Manager, CISO, Security Engineer, DPO, avranno a disposizione una console dinamica e in real time con report specifici sulla sicurezza, andamento dell’utilizzo dei sistemi, al fine di coadiuvare le attività manageriali richieste dai loro compiti specifici.
Per la GDPR 2016/679 – Data Protection, proponiamo un supporto consulenziale che prevede il raggiungimento della compliance, grazie ad esperti professionisti del settore che analizzeranno la tua azienda, predisponendo tutta la documentazione, flussi operativi, adempimenti, informative, nomine, registro dei trattamenti.

Per maggiori informazioni chiama gratis il numero

800 123 539