.

Che cos'è il NIS2?

La direttiva NIS2 (Network and Information Security Directive 2) è un aggiornamento della precedente direttiva NIS (2016/1148). Essa ha lo scopo di rafforzare la sicurezza delle reti e dei sistemi informatici all'interno dell'Unione Europea. Questa normativa mira a rafforzare la resilienza cibernetica dell'UE, riducendo le divergenze tra gli Stati membri e migliorando la cooperazione a livello europeo.

Figure professionali più idonee per mettere in conformità un'organizzazione

per mettere in conformità un’azienda con la Direttiva NIS2, è fondamentale coinvolgere le seguenti figure professionali:

  • Chief Information Security Officer (CISO): Responsabile della gestione della sicurezza delle informazioni e della strategia di cybersecurity.
  • Responsabile IT: Supervisiona l’infrastruttura tecnologica dell’azienda e implementa misure di sicurezza necessarie.
  • Compliance Officer: Assicura che l’azienda rispetti tutte le normative e i requisiti legali, inclusi quelli relativi alla sicurezza informatica.
  • Esperti Risk Management: Valutano e gestiscono i rischi informatici, garantendo che l’azienda sia preparata ad affrontare eventuali incidenti.
  • Auditor di Sicurezza: Conducono verifiche regolari per assicurare che le misure di sicurezza siano adeguate e rispettino i requisiti del NIS2.

Richiedi un Contatto

    Requisiti per l'Obbligatorietà del Decreto NIS2

    Secondo la Direttiva NIS2, le aziende che operano in settori considerati critici sono soggette agli obblighi della normativa.

    Questi settori includono (in allegato un documento più dettagliato):

    • Energia: Gestori di sistemi di distribuzione e trasmissione, produttori di energia, gestori di punti di ricerca, e altri operatori del mercato energetico.
    • Trasporti: Compagnie aeree, ferroviarie, di navigazione e gestori di porti.
    • Settore bancario: Enti creditizi e infrastrutture di mercato finanziario.
    • Sanità: Prestatori di assistenza sanitaria, laboratori di riferimento e produttori di dispositivi medici.
    • Acqua potabile e reflue: Fornitori di distributori di acqua potabile e gestori di acque reflue.
    • Infrastrutture digitali: Fornitori di servizi cloud, data center, e reti di distribuzione dei contenuti.
    • Servizi postali e di corriere: Fornitori di servizi postali e di corriere.

    Oltre ai settori critici, il NIS2 si applica anche alle aziende che superano determinate soglie di fatturato e numero di dipendenti. In particolare:

    • Aziende con almeno 50 dipendenti e/o un numero di fatturato annuo di almeno 10 milioni di euro sono soggette alla NIS2.
    • Anche aziende di dimensioni inferiori possono essere coinvolte se forniscono servizi essenziali o collaborano con infrastrutture critiche.

    Misure di Sicurezza Obbligatorie

    DATI SICURI?

    AFFIDATI A SISTEMI PROFESSIONALI

    Le aziende che rientrano nel campo di applicazione del NIS2 devono adottare una serie di misure di sicurezza obbligatorie, tra cui:

    • Gestione dei rischi ICT: Implementazione di un quadro di gestione del rischio ICT che copra tutti gli aspetti della gestione dei rischi informatici.
    • Controlli di Sicurezza ICT: Adozione di controlli di sicurezza per proteggere la riservatezza, l’integrità e la disponibilità dei sistemi ICT e dei dati.
    • Gestione delle Vulnerabilità e Patch: Politiche e procedure per la gestione delle vulnerabilità, comprese l’identificazione, la valutazione e la mitigazione delle vulnerabilità.
    • Gestione degli Incidenti di Sicurezza ICT: Piani di risposta agli incidenti che includano procedure per rilevare, analizzare, contenere, risolvere e comunicare gli incidenti di sicurezza informatica.
    • Continuità Operativa e Ripristino delle Attività: Sviluppo e mantenimento di piani di continuità operativa e di ripristino delle attività. Test periodici dei piani di continuità e ripristino per verificarne l’efficacia.
    • Monitoraggio e Analisi: Sistemi di monitoraggio continuo delle reti e dei sistemi per rilevare attività anomale o non autorizzate sui sistemi ICT. Utilizzo di strumenti di rilevazione delle intrusioni (IDS/IPS) e di analisi dei log per identificare e rispondere tempestivamente alle minacce.
    • Test di Penetrazione e Valutazioni della Sicurezza: Esecuzione di test di penetrazione regolari e valutazioni della sicurezza.
    • Formazione e Sensibilizzazione: Formazione continua del personale sulle pratiche di sicurezza informatica.
    • Gestione dei Fornitori e Terze Parti: Valutazione dei rischi legati ai fornitori e alle terze parti che forniscono servizi ICT  critici.

    Altre informazioni rilevanti

    La direttiva NIS2 richiede anche che ogni Stato membro designi uno o più CISRT (Computer Security Incident Response Team) responsabili della gestione degli incidenti. In Italia, il CSIRT nazionale è gestito dall’Agenzia per la Cybersicurezza Nazionale (ACN).

    Conclusioni

    Il Decreto NIS2 offre una grande opportunità per rafforzare la sicurezza informatica delle aziende italiane.

    Vi invitiamo a considerare l’integrazione delle soluzioni di prevenzione necessarie per garantire la conformità e proteggere le vostre infrastrutture critiche.

     

    A breve riceverete una seconda comunicazione con indicazioni pratiche su come possiamo assistervi per mettere in conformità i vostri sistemi e servizi.

     

    Per ulteriori dettagli e supporto, non esitate a contattarci

    Vulnerability Scan and Analysis

    Il fine è di rilevare la presenza di vulnerabilità note all’interno dell’infrastruttura informatica oggetto di analisi attraverso simulazioni di attacco hacker.

    Exploitation

    Dalle risultanze rilevate nelle fasi precedenti, l’attività si concentra nello stabilire un accesso al sistema, aggirando gli eventuali sistemi di sicurezza presenti.

    Reporting

    Riguarda la preparazione di un report, affinché al cliente sia chiaro quali azioni sono state intraprese all’interno dello scope definito, con quali motivazioni e con quali risultati.

    Per Urgenze su connettività di rete -

    328-82-82-333

    Un Pentretration Test serve a verificare la presenza di pericoli nel proprio sistema informatico. Nello specifico, il test informatico rileva la vulnerabilità più pericolosa sfruttabile dagli hacker.

    Nello specifico una vulnerabilità rilevata può rientrare elle seguenti categorie:

    • bug software
    • configurazioni errare
    • porte e servizi aperti

    Non è possibile stabilire a priori il tempo necessario. 

    Possono volerci giorni o settimane. Molto dipende se il vostro sistema informatico è particolarmente difficile da violare.

    Assolutamente NO!.

    Non solo i dipendenti ma anche i proprietari e i tecnici informatici interni all'azienda non sanno quando il test ha inizio e quando termina.

    Un attacco esterno vvisa gli utenti prima di tentare di creare danni? 

    A tutte quelle aziende che voglio avere una corretta percezione sulla sicurezza della propria rete e dei dati certi per proteggere al meglio i  dati aziendali. 

    Niente di più sbagliato.

    • Il software, in particolare il software personalizzato, è quasi sempre pieno di buchi di sicurezza e vulnerabilità. Il tuo provider cloud non ha alcun controllo sul tuo software
    • Dispositivi di ambiente aziendale: stampanti all-in-one, server wireless, laptop, workstation, modem, sono vulnerabili e i test sono fondamentali per questo ambiente

    Dipende dalla grandezza della rete da testare.

    Tuttavia il costo viene comunicato a seguito di un controllo sommario sulla rete che ne definisce la rete LAN

    PROTEGGI I TUOI DATI

    Non aspettare di avere problemi dovuti ad attcchi esterni. Sii proattivo