Cos'è NIS2?

La direttiva NIS2 è la direttiva pubblicata dalla Commissione Europea nel dicembre 2022 per l’implementazione di alcune misure di sicurezza di rete nella legislazione nazionale entro il 17 ottobre 2024. “NIS” è l’acronimo di “Network and Information Security”.

La direttiva NIS2 è un aggiornamento della NIS1 del 2016 e comprende regolamenti a livello europeo per la creazione di standard e istituzioni nazionali, nonché per la comunicazione e la cooperazione internazionale, con l’obiettivo di aumentare il livello generale di sicurezza informatica nell’UE.

In questo modo, i servizi essenziali per la società e l’economia e, quindi, ad “alta criticità”, così come i servizi la cui interruzione o il cui fallimento avrebbe conseguenze critiche, saranno maggiormente protetti.

La direttiva mira quindi a rafforzare la resilienza di queste infrastrutture critiche secondo il Programma europeo per la protezione delle infrastrutture critiche (EPCIP) con vari requisiti riguardanti lo stato della sicurezza informatica, gli obblighi di segnalazione, gli audit normativi e molto altro.

Comprendere e implementare rapidamente la NIS2

La sicurezza delle reti ha assunto una nuova importanza nell’Unione Europea (UE): La direttiva europea sulla sicurezza delle reti e delle informazioni (NIS) obbliga gli Stati dell’UE a stabilire standard di sicurezza informatica più severi e uniformi per le loro aziende e istituzioni rilevanti per il sistema.

La direttiva NIS2, pubblicata nel dicembre 2022, è la logica risposta ai rischi informatici radicalmente mutati dopo l’emanazione della prima direttiva NIS nel 2016. Nel suo ultimo rapporto sulla situazione, ad esempio, l’Ufficio federale tedesco per la sicurezza informatica (BSI) stima che la situazione delle minacce sia più elevata che mai. Entro il 2024, le infrastrutture critiche dell’UE dovranno quindi essere più resilienti e reattive grazie a istituzioni, strategie e cooperazioni specifiche per la sicurezza informatica.

Questo articolo vi informa sui requisiti specifici associati alla NIS2, sulle aree a cui si applicano e su come LANCOM vi supporta nell’implementazione rapida e sicura.

NIS2 in breve

Ampliamento nel campo di applicazione

  • Sono interessate nuove industrie e nuovi settori
  • Chiara definizione di servizi essenziali e critici

Maggiore uniformità

  • Stabiliti standard a livello europeo per la Cybersecurity
  • Obbligo di adozione come legge nazionale
  • Rete internazionale per la cooperazione nelle crisi informatiche

Controlli più severi sull’applicazione

  • Monitoraggio dell’attuazione da parte delle autorità nazionali
  • Vari obblighi di bilancio e di due diligence

Obblighi specifici e di più ampia portata

  • Definizione di componenti per la gestione dei rischi e delle crisi
  • Requisiti più severi per la segnalazione di incidenti di sicurezza entro 24 ore, compreso il rapporto finale

Sanzioni più severe per le violazioni legali

  • Avvertenze, istruzioni ad agire o ordini di cessazione dell’attività in caso di non conformità
  • Multe elevate per le violazioni

 

A chi viene applicata la direttiva NIS2

L’obiettivo delle linee guida NIS è quello di dotare i settori pubblici e privati rilevanti per il sistema degli Stati dell’UE di tecnologie di sicurezza adeguate e di migliorare lo scambio cooperativo di informazioni sul tema della sicurezza delle reti tra gli Stati membri. La NIS2 definisce criteri di identificazione ancora più chiari per l’appartenenza alle infrastrutture critiche secondo il Programma europeo per la protezione delle infrastrutture critiche (EPCIP) e include nuovi settori:

EPCIP sectors valid since NIS1 (2016)

  • Energia
  • Trasporti
  • Banche
  • Infrastrutture del mercato finanziario
  • Salute
  • Acqua potabile
  • Infrastrutture digitali
  • Fornitori di servizi digitali

Settori EPCIP aggiunti dal NIS2 (2022)

  • Produzione e processazione (tra le altre cose cibo, prodotti medici, prodotti chimici, veicoli, prodotti di elettronica e macchinari).
  • Fornitori di servizi di comunicazione elettronica accessibili al pubblico
  • Gestione dei servizi ICT (tecnologie dell’informazione e della comunicazione, in breve ICT)
  • Pubblica amministrazione
  • Spazio
  • Servizi postali e di corriere
  • Gestione dei rifiuti e delle acque reflue
  • Ricerca

Fornitore di servizi critici/essenziali                                                         Se appartiene a uno dei settori e se è presente almeno uno dei seguenti punti:

  • Hanno una dimensione di almeno 50 dipendenti.
  • Superano un fatturato annuo di 10 milioni.
  • Sono gli unici fornitori di un servizio critico, indipendentemente dalle loro dimensioni.

Chi è interessato dalla NIS2?

Tutte le organizzazioni di medie e grandi dimensioni che operano nei settori sopra elencati, così come le aziende che soddisfano i criteri specificati, saranno coperte dalla nuova direttiva NIS2.

Di conseguenza, un numero molto elevato di medie imprese è ora obbligato a osservare le misure di sicurezza previste dalla direttiva e a sottostare a determinati obblighi di comunicazione.

 

NIS2 valutato da un esperto

Cosa devono tenere presente le aziende riguardo al NIS2

Molte aziende saranno interessate dal NIS2.

Ad esempio, i fornitori di reti elettroniche pubbliche e di servizi di comunicazione, i produttori di apparecchiature per l’elaborazione dei dati, di prodotti elettronici e ottici e i gestori di tecnologie dell’informazione e della comunicazione saranno sottoposti a un esame più attento in base alla nuova direttiva. Ciò include anche i venditori di sistemi e altri fornitori tecnici. E adesso?

In che misura la NIS2 proteggerà meglio le infrastrutture critiche?

La direttiva NIS2 affronta le attuali minacce alla sicurezza informatica riconoscendo l’impatto di organizzazioni compromesse o incapaci in una gamma più ampia di settori e rendendo tali organizzazioni responsabili di un livello richiesto di sicurezza delle informazioni. Inoltre, istituisce una rete europea di comunicazione e cooperazione per la sicurezza delle informazioni e delle reti, EU-CyCLONe.

“La Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio mirava a costruire capacità di cybersecurity in tutta l’Unione, a mitigare le minacce ai sistemi di rete e di informazione utilizzati per fornire servizi essenziali in settori chiave e a garantire la continuità di tali servizi in caso di incidenti, contribuendo così alla sicurezza dell’Unione e all’efficace funzionamento della sua economia e della sua società.”

Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022.

Gestione coordinata dei rischi e delle crisi

Nello specifico, la direttiva NIS2 funge da “quadro coordinato di cybersecurity”. Richiede strategie nazionali di cybersecurity e autorità responsabili, ad esempio punti di contatto sicuri e centrali, team di risposta agli incidenti di sicurezza informatica (CSIRT) costantemente disponibili e responsabili della gestione dei rischi e delle crisi.

Rispetto alla NIS1, i compiti di queste autorità sono definiti in modo più preciso, così come i componenti di cui dovrebbe essere composta la strategia di sicurezza della rete, ad esempio la sicurezza della catena di approvvigionamento, la sicurezza delle comunicazioni, l’uso della crittografia e dei controlli di accesso, i sistemi di comunicazione di emergenza e altro ancora (si veda il documento informativo legale).

Applicazione più rigorosa

Sono state introdotte norme chiare per il monitoraggio e la rendicontazione. L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) deve tenere un registro delle società di infrastrutture digitali coperte dalla direttiva. Gli incidenti di sicurezza devono essere segnalati entro 24 ore e analizzati in una relazione finale al più tardi dopo un mese. Ogni due anni verrà riesaminato e valutato lo stato della sicurezza informatica nell’UE.

Le istituzioni interessate dal NIS2 devono dimostrare di essere conformi ai concetti di sicurezza di rete pertinenti mediante varie versioni di due diligence e prove di implementazione (maggiori informazioni in merito nel documento informativo legale). In caso di violazioni, sono previste multe fino a 10 milioni di euro o al 2% del fatturato mondiale dell’anno precedente.

Cosa significa NIS2 in particolare per voi?

Il miglior modo per le aziende per prepararsi a NIS2    

Piccole e medie aziende devono prestare attenzione quando si tratta di NIS2: le industrie manifatturiere e di trasformazione di diversi settori devono ora occuparsi della sicurezza delle loro reti tanto quanto le grandi aziende. Che si tratti dell’industria alimentare o automobilistica, o di produttori, trasformatori o distributori di prodotti medici, elettronici o chimici, molte aziende devono ora rivalutare la propria sicurezza di rete e adattarla, se necessario.

Come prepararsi al meglio alle nuove leggi che implementano la NIS2? La nostra infografica mostra come iniziare oggi una pulizia di primavera della vostra sicurezza informatica.

 

Suggerimenti pratici per l’implementazione delle direttive NIS2: Cosa potete fare ora

La direttiva NIS2 definisce principalmente le strategie nazionali di sicurezza delle reti e la gestione professionale dei rischi. Ma cosa significa per voi? E come può aiutarvi un fornitore di tecnologia di rete come LANCOM?

Innanzitutto, ogni governo degli Stati membri dell’UE deve definire il quadro normativo nella legislazione nazionale del proprio Paese. Osservando i seguenti punti, sarete ben preparati per le linee guida nazionali basate su NIS2.

Prendete provvedimenti precauzionali

È meglio iniziare subito a rivedere ed esaminare criticamente il vostro attuale stato di sicurezza informatica. Quanto sono sensibili e critici i dati con cui lavorate e i servizi che fornite? Quanto sarebbe grave per le vostre attività un arresto o un’interruzione del sistema?

Se entrambe le valutazioni sono elevate, la vostra rete deve essere adeguatamente protetta. A partire dalle apparecchiature tecniche, con gateway e firewall sicuri e privi di backdoor, fino a una buona gestione del rischio.

Suggerimento pratico:

Qui abbiamo stilato una chiara panoramica di ciò che riguarda la sicurezza di rete professionale.

Inoltre, qui potete valutare il livello di misure di sicurezza da prendere in considerazione.

Conduzione di una gestione professionale del rischio

Il primo compito di una gestione efficace del rischio è definire chiaramente le responsabilità: Chi è responsabile della protezione della rete e in che misura: l’IT interno, un team di sicurezza speciale o un fornitore di servizi esterno? Quali rischi sono rilevanti per voi e come vi proteggete da essi?

Regole chiare aiutano a gestire gli incidenti di sicurezza e a mantenere le operazioni anche in caso di crisi. La sicurezza della rete spazia dalla formazione dei dipendenti, alla catena di approvvigionamento sicura, ai componenti, sistemi e servizi di rete testati, alle procedure di igiene informatica, all’uso della crittografia, dei controlli di accesso e dell’autenticazione, alla sicurezza delle comunicazioni vocali, video e di testo e molto altro ancora.

Suggerimento pratico:

È possibile aggiornare immediatamente la sicurezza dei dispositivi esistenti senza grandi sforzi. Qui vi mostriamo esattamente come fare. Abbiamo anche altri suggerimenti pratici per aiutarvi a costruire una solida base di sicurezza.

Potete anche leggere il nostro white paper su come ottenere la visibilità della rete utilizzando l’ispezione profonda dei pacchetti e i proxy di crittografia: Whitepaper: Network visibility through DPI and encryption proxies

Assicurarsi l’abilità nel (re)agire

Se qualcosa dovesse andare storto nonostante le precauzioni prese, la limitazione del danno è assicurata dalle squadre e procedure di emergenza. La tua squadra di intervento per la sicurezza della rete dovrebbe essere reperibile in ogni momento, avere canali di comunicazione ridondanti ed essere in un luogo sicuro.

Le valutazioni periodiche della situazione e l’analisi proattiva delle vulnerabilità consentono di monitorare la rete 24 ore su 24, di rilevare tempestivamente le minacce e di informarvi immediatamente in caso di incidenti di sicurezza.

Suggerimento pratico:

La gestione della rete basata sul cloud aumenta la sicurezza della rete e riduce il carico dei responsabili della sicurezza. Il cloud per la gestione della rete si fa carico di attività di monitoraggio essenziali e semplifica la configurazione di firewall e altri dispositivi.

Date un’occhiata voi stessi: Cloud managed security!

Garantire il recupero dagli incidenti di sicurezza

Dopo un incidente di sicurezza informatica, si compie ogni sforzo per riprendersi dalla crisi. Ma ancor prima che si verifichi una crisi, è necessario un concetto maturo di protezione dei dati e di sovranità digitale.

Un passo importante è stato fatto quando si dispone di backup dei dati e di server cloud geo-ridondanti. Nel migliore dei casi, potrete disporre di capacità interne per colmare eventuali lacune nella sicurezza e mantenere la sicurezza dei vostri sistemi.

Suggerimento pratico:

Mettete alla prova la vostra digital sovereignity con il nostro indice e scoprite la rilevanza della sovereignity dei dati!

Oppure potete familiarizzare con i nostri consigli per le aziende e le autorità sovrane dal punto di vista digitale.

Contate su una buona collaborazione e un buon supporto

Se una cosa è la prevenzione, la risoluzione e il recupero degli incidenti, un’altra è avere gli esperti e le risorse per farlo. La NIS2 richiede precauzioni di sicurezza in tutte le fasi di acquisizione, sviluppo, manutenzione e gestione dei sistemi di rete e informativi. Ma non tutte le aziende hanno la capacità di avere un proprio team di cybersecurity.

I dipendenti interni dell’IT o esperti devono spesso gestire la sicurezza della rete e compiti come la configurazione dei firewall in aggiunta alle loro altre mansioni. In casi come questi, la vita può essere molto più semplice se si può contare sul giusto supporto.

Suggerimento pratico:

Lasciate che il vostro firewall UTM faccia la maggior parte del lavoro! Con un’interfaccia web di facile utilizzo come console di gestione centrale nel browser, i firewall LANCOM R&S®Unified forniscono una panoramica completa di tutti i dispositivi e le connessioni della rete, semplificando notevolmente l’implementazione dei requisiti di sicurezza.

Inoltre, vi supportiamo con numerose offerte di assistenza e formazione, nonché con utili progetti di riferimento per l’orientamento e le informazioni:

Riferimento per il cliente: Security package for practices with Hasomed

Sicurezza di rete conforme a NIS2 con LANCOM Conclusioni: La nuova direttiva NIS2 dell'UE interessa un numero significativamente maggiore di aziende e istituzioni rispetto alla precedente NIS1. Essa prevede specifiche più severe, una verifica più chiara della loro attuazione e sanzioni più severe in caso di non conformità. Soprattutto le industrie del settore alimentare e manifatturiero, i fornitori di servizi pubblici di rete e comunicazione elettronica e gli amministratori di tecnologie dell'informazione e della comunicazione devono verificare se le nuove linee guida si applicano a loro e monitorare il modo in cui il loro Paese sta implementando i requisiti dell'UE nella legislazione nazionale. L'ideale sarebbe prepararsi fin da ora e sottoporre la sicurezza della rete a un check-up critico. LANCOM Systems può aiutarvi a farlo, con le attrezzature tecniche giuste, le soluzioni di sicurezza su misura per le vostre esigenze e il know-how necessario.

Compila il form per avere maggiori informazioni su Lancom

Articolo originale: Network security according to NIS2 

Traduzione e riadattamento da parte di CIPS Informatica -Lancom Systems Blog - © 2024

Torna in cima