EP04 | Tre passaggi chiave per prepararsi

Il percorso di adeguamento alla Direttiva Europea NIS2 può sembrare lungo e complesso, ma esistono delle pratiche che possono agevolare l'adozione. Consigliamo a qualsiasi organizzazione che inizia ora a prepararsi per conformarsi alla regolamentazione basata su NIS2 di seguire questi tre passaggi pratici per il successo: 

• Passo 1, comprensione del campo di applicazione. Capire fin dall'inizio quali sistemi rientrano nel campo di applicazione delle normative basate su NIS2  

• Passo 2, adozione di sistemi di gestione della sicurezza informatica basati sul rischio. Adottare una gestione della sicurezza informatica basata sul rischio e far rispettare i controlli di sicurezza  

• Passo 3, documentazione per dimostrare la conformità. Documentare tutto il necessario per dimostrare la conformità ai controlli  

 Vediamoli più nel dettaglio

Comprensione del campo di applicazione 

Decidere quali sistemi OT/IT rientrano nel campo di applicazione di NIS2 è il primo passo verso la conformità riuscita. Domande chiave per prepararsi alla comprensione del campo di applicazione sono: 

• Quali servizi essenziali fornisce l'organizzazione? 

• L'organizzazione rientra o potrebbe rientrare nel campo di applicazione di NIS2? 

• Quali nuovi requisiti dovrebbero essere implementati dall'organizzazione all'interno del campo di applicazione di NIS2? 

• Se l'organizzazione non rientra direttamente nel campo di applicazione di NIS2, ha rapporti con fornitori o clienti soggetti alle nuove regole? 

• Quali obblighi devono le organizzazioni attribuire ai propri fornitori o clienti commerciali nei loro accordi contrattuali? 

Comprendere i requisiti normativi è cruciale non solo per le organizzazioni direttamente colpite dalla NIS2, ma anche per quelle che interagiscono con entità soggette alla normativa. È essenziale anche determinare se siano necessarie ulteriori misure in conformità con regolamentazioni locali sulla sicurezza IT/OT, che possono variare da un paese all'altro. In sintesi, una valutazione approfondita del campo di applicazione della NIS2 e l'adozione delle misure necessarie contribuiranno a garantire la conformità e a migliorare la resilienza cibernetica delle organizzazioni.

Adozione di sistemi di gestione della sicurezza informatica basati sul rischio 

Le entità essenziali e importanti nel campo di applicazione di NIS2 saranno tenute ad adottare adeguate misure tecniche, operative e organizzative per gestire i rischi per la sicurezza degli asset IT/OT che utilizzano per le loro operazioni o per la fornitura di servizi. Si tratta di misure necessarie per prevenire o ridurre al minimo l'impatto degli incidenti sia sulle persone che utilizzano i loro servizi che su altri servizi. 

Per proteggere le reti e i sistemi da incidenti, tali misure devono adottare un approccio basato sul rischio. Un approccio basato sul rischio consiste nel comprendere i rischi a cui va incontro la tua organizzazione e creare controlli per questi rischi in base alla definizione delle priorità dei danni che possono causare. Spesso utilizzato dai team di conformità, l'approccio concentra gli sforzi in base al livello di rischio.

Oltre a questo ampio bisogno, la nuova Direttiva include informazioni più specifiche sui metodi di gestione del rischio informatico, specificando che devono includere almeno quanto segue: 

• Un modello di governance e operativo con ruoli e responsabilità chiari e responsabilità della direzione generale

• Analisi del rischio e politiche di sicurezza del sistema informativo

• Gestione degli incidenti

• Continuità operativa, come gestione dei backup e ripristino dei disastri, e gestione delle crisi

• Sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza delle relazioni tra ciascuna entità e i suoi fornitori diretti o fornitori di servizi

• Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione dei network e dei sistemi informativi, compresa la gestione delle vulnerabilità e delle divulgazioni

• Politiche e procedure per valutare l'efficacia delle misure di gestione del rischio informatico; 

• Pratiche di igiene informatica di base e formazione sulla sicurezza informatica

• Politiche e procedure relative all'uso della crittografia e, ove appropriato, della crittografia

• Sicurezza delle risorse umane, politiche di controllo degli accessi e gestione delle risorse

• L'uso di soluzioni di autenticazione a più fattori o di autenticazione continua, comunicazioni vocali, video e testo sicure e sistemi di comunicazioni di emergenza sicuri all'interno dell'entità, ove appropriato

Documentazione per dimostrare la conformità 

La conformità richiede documentazione: se non è documentato, non è accaduto. Gli auditor possono richiedere una vasta gamma di documentazione nella valutazione delle organizzazioni per la prova della conformità con NIS2. Questo passaggio può essere travolgente soprattutto per le organizzazioni che stanno appena iniziando il loro percorso di conformità. Un sistema di governance olistico può non solo aiutare a monitorare i progressi e migliorare la documentazione, ma può anche fornire una prospettiva multidisciplinare e un solido quadro di come le aziende possono gestire le minacce informatiche in modo proattivo e lavorare per contrastare le minacce informatiche sia ora che in futuro. 

Per iniziare il processo, raccomandiamo di valutare la presenza in azienda della seguente documentazione:

• Politiche di Sicurezza Informatica: Documenti che descrivono le politiche interne relative alla sicurezza delle informazioni, inclusi obiettivi, ruoli e responsabilità.
• Analisi dei Rischi e Valutazione delle Vulnerabilità: Rapporti che dettagliano i rischi identificati, le valutazioni delle vulnerabilità e le misure adottate per mitigare tali rischi.
• Piano di Gestione degli Incidenti: Documentazione che descrive le procedure per identificare, gestire e rispondere agli incidenti di sicurezza informatica.
• Registro degli Incidenti di Sicurezza: Un registro dettagliato di tutti gli incidenti di sicurezza verificatisi, incluse le azioni correttive intraprese.
• Piani di Continuità Operativa e di Recupero di Emergenza: Documenti che descrivono i piani per garantire la continuità delle operazioni aziendali e il ripristino delle attività in caso di interruzione.
• Audit e Revisioni della Sicurezza: Rapporti di audit e revisioni interne o esterne che valutano l'efficacia delle misure di sicurezza implementate.
• Formazione e Sensibilizzazione del Personale: Documentazione relativa ai programmi di formazione e sensibilizzazione del personale sulla sicurezza informatica e le pratiche di sicurezza.
• Politiche di Gestione degli Accessi: Documenti che descrivono come vengono gestiti e controllati gli accessi alle risorse informatiche.
• Inventario degli Asset: Un registro degli asset IT e OT, inclusi hardware, software e reti, con informazioni sui proprietari e la criticità degli asset.
• Procedure di Monitoraggio e Reporting: Documenti che descrivono le procedure per il monitoraggio continuo della sicurezza informatica e la segnalazione degli incidenti alle autorità competenti.
• Contratti e Accordi con Terze Parti: Copie degli accordi contrattuali con fornitori e partner che includono clausole di sicurezza informatica conformi ai requisiti della NIS2.
• Certificazioni Preesistenti: Se applicabile, copie di certificazioni di sicurezza informatica preesistenti (es. ISO/IEC 27001) che possono supportare la conformità alla NIS2.

Prepararsi nei tempi e nei modi corretti - Ask to CyberRabbit

CyberRabbit , divisione di Logos Technologies dedicata alla consulenza in cybersecurity, ha come missione quella di aumentare la consapevolezza delle minacce derivanti dalle vulnerabilità di sistemi informativi, con un approccio consulenziale ed evolutivo nel tempo secondo le direttive del framework NIST, in grado di creare un percorso di adozione tecnologica per la previsione, il ripristino e la prevenzione rispetto a minacce informatiche di diversa origine.

Sei interessato a valutare la Security Posture per la tua azienda e scoprire quando sei vicino all'adeguamento alla Direttiva Europea? Scrivici per scoprire il tuo percorso di adeguamento alla normativa.