Diventa conforme al NIS2

Fatti guidare dai nostri consulenti

CONFORMITÀ ALLA DIRETTIVA EUROPEA NIS2

La direttiva NIS2 dell'Unione Europea introduce nuove misure per rafforzare la sicurezza informatica nell'UE, richiedendo alle organizzazioni di adottare approcci più sofisticati per gestire i rischi e garantire la protezione dei dati.

ISGroup ti guida alla conformità alla NIS2, grazie al nostro processo spot o continuativo che include servizi, consulenza e formazione per implementare le contromisure necessarie e soddisfare i requisiti della direttiva, oltre che proteggere efficacemente i sistemi informativi.

Descrizione

CHE COS’È LA DIRETTIVA NIS2?

La NIS2 è la nuova direttiva dell'UE relativa alla sicurezza dei sistemi informativi. Entrata in vigore il 17 gennaio 2023, deve essere recepita in Italia entro il 17 Ottobre 2024. La NIS 2 mira a migliorare il livello generale di sicurezza informatica nell'Unione Europea. Questa strategia comunitaria è necessaria a causa della digitalizzazione e delle nuove minacce di CyberSecurity.

Le organizzazioni soggette nella NIS2 si dividono in soggetti essenziali e soggetti importanti. Queste categorie sono definite secondo criteri di appartenenza ad un settore e alla dimensione dell'organizzazione. (LINK ALL’EDITORIALE)

COME RENDERE LA TUA AZIENDA CONFORME ALLA NIS2?

La NIS2 contiene un elenco dettagliato di misure di gestione dei rischi di sicurezza delle informazioni, progettate per proteggere i sistemi informativi, le reti, le applicazioni ed in generale le aziende ed enti da potenziali incidenti Cyber. Queste misure includono analisi dei rischi, gestione degli incidenti, continuità operativa e altro ancora.

Per adeguarsi alla NIS2, quindi, è necessario adottare misure tecniche, operative e organizzative per gestire i rischi alla sicurezza informatica. È fondamentale garantire che:

  • le politiche di sicurezza delle informazioni siano documentate, comunicate e valutate per proteggersi efficacemente in modo proattivo;
  • avere processi ben definiti per prevenire, rilevare e rispondere agli incidenti;
  • gestire i Backup;
  • gestire il Disaster Recovery;
  • avere un programma formale di gestione delle patch;
  • avere ed applicare politiche di crittografia;
  • avere un sistema di autenticazione a due fattori per proteggere gli accessi critici e remoti.

ISGroup affianca i suoi Consulenti ed esperti di Cyber Security per portare a compimento il progetto di adeguamento della vostra organizzazione ai requisiti richiesti dalla normativa ed aumentare sensibilmente la maturità del vostro sistema di gestione (o crearlo da zero) e la sicurezza dei vostri sistemi informatici.

Ottieni la conformità NIS2 grazie ad ISGroup

ISGroup offre un percorso guidato ed una gamma completa di servizi per aiutare le aziende a soddisfare i requisiti minimi di conformità alla NIS2.

Il nostro approccio è composto da quattro fasi principali:

  • Analisi della situazione attuale (GAP Analisys): in questo primo intervento viene redatta una valutazione completa del livello adeguatezza rispetto la NIS2 in cui si trova l’azienda, eseguendo un’analisi approfondita e dettagliata delle politiche e delle pratiche di sicurezza.
  • Stesura del Piano di Rientro (Remediation Plan): a questo punto il team di ISGroup sarà in grado di fornire un remediation plan, ovvero un “piano d’azione” per correggere le non conformità.

  • Selezione dei servizi di ISGroup a copertura dei requisiti: successivamente, e in base alle esigenze specifiche del cliente, vengono selezionati i servizi offerti da ISGroup per soddisfare i requisiti di conformità alla NIS2.
  • Verifica dello stato di rientro del remediation plan: infine, ISGroup verifica l’efficacia delle misure di sicurezza adottate dall'azienda nei confronti delle principali minacce, constatando il raggiungimento dello standard di conformità alla NIS2.

Mantieni la conformità NIS2 grazie ad ISGroup

ISGroup è un alleato che ti supporta ogni anno per garantire il mantenimento della conformità con attività pianificate e continuative, quali:

  • Aggiornamento della valutazione dei rischi per la sicurezza informatica;
  • Adozione delle misure di sicurezza adeguate;
  • Implementare ed aggiornare processi di gestione della sicurezza informatica, tra cui:
    • Gestione dei rischi;
    • Incident response;
    • Comunicazione e formazione;
    • Audit e conformità;
    • Garantire che i processi siano adeguatamente documentati e testati.
  • Aumentare la consapevolezza e la formazione:
    • Formare i dipendenti sulle buone pratiche di sicurezza informatica;
    • Sensibilizzare i rischi e le responsabilità in materia di sicurezza informatica;
  • Monitorare e aggiornare:
    • Monitorare continuamente l'efficacia delle misure di sicurezza implementate;
    • Aggiornare le misure di sicurezza e i processi in base alle nuove minacce e vulnerabilità.
  • Tenere traccia della conformità:
    • Documentare le attività di conformità alla NIS2;
    • Essere pronti a dimostrare la conformità alle autorità competenti.

Sei interessato?

Contattaci per ricevere un preventivo dei servizi offerti da ISGroup alla tua azienda.

I requisiti della NIS2

Requisito minimo per la compliance al NIS2

Obiettivo sicurezza

Servizio di ISgroup per soddisfare il requisito

Articolo NIS2 21.a

Politiche per l’analisi dei rischi e sulla sicurezza dei sistemi informativi.

Le politiche di sicurezza sono documentate, comunicate e valutate

vCISO - Virtual CISO

  • Security Program Maturity Assessment
  • Security Policy Review and Guidance

Articolo NIS2 21.b

Gestione degli incidenti

Considera le seguenti:

È presente un processo per segnalare potenziali incidenti significativi?

È implementato un sistema di ticketing per gestire e documentare il triage e la risposta al rilevamento degli incidenti?

Esiste un processo per prevenire, rilevare e rispondere agli incidenti?

vCISO - Virtual CISO

  • Security Incident Response Planning
  • Security Program Maturity Assessment

DFIR - Digital Forensics and Incident Response

MDR - Multi-Signal MDR

Articolo NIS2 21.c

Business continuity (BC)

Gestione del backup e disaster recovery, e gestione delle crisi

vCISO - Virtual CISO

  • Security Program Maturity Assessment
  • Security Incident Response Planning

Articolo NIS2 21.d

Supply chain security

Assicurarsi che gli aspetti relativi alla sicurezza nei rapporti tra ciascuna organizzazione e i suoi fornitori diretti o fornitori di servizi siano inclusi:

Vengono identificati i rischi della supply chain e sono implementate misure per la mitigazione del rischio

vCISO - Virtual CISO

  • Vendor Risk Management

Articolo NIS2 21.e

Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità.

L'organizzazione è in grado di identificare, monitorare, allertare ed è ingrado di rispondere ad una minaccia

vCISO - Virtual CISO

  • Security Program Maturity Assessment

MDR - Multi-Signal MDR

Vulnerability Management Service (MVS)

NPT - NETWORK PENETRATION TESTING

WAPT - WEB APPLICATION PENETRATION TESTING

MAST - MOBILE APPLICATION SECURITY TESTING

EH - ETHICAL HACKING

Articolo NIS2 21.f

Politiche e procedure per valutare l’efficacia delle misure di sicurezza informatica

Le politiche di sicurezza informatica sono documentate, comunicate e valutate per la gestione del rischio cyber

vCISO - Virtual CISO

  • Security Program Maturity Assessment
  • Security Policy Review and Guidance

NPT - NETWORK PENETRATION TESTING

WAPT - WEB APPLICATION PENETRATION TESTING

MAST - MOBILE APPLICATION SECURITY TESTING

EH - ETHICAL HACKING

Articolo NIS2 21.g

Pratiche basilari di cyber hygiene e formazione sulla sicurezza informatica.

Considera le seguenti:

È presente un programma formale di gestione delle patch e un programma di gestione delle vulnerabilità?

Viene regolarmente svolta una formazione sulla consapevolezza della sicurezza informatica?

vCISO - Virtual CISO

  • Security Program Maturity Assessment

CTS - Cyber threat simulation

  • Managed Phishing
  • Security Awareness Training

Articolo NIS2 21.h

Politiche e procedure per l'utilizzo di tecniche crittografiche, inclusa la crittografia quando appropriato.

Vengono implementate politiche e procedure per l'utilizzo della crittografia e per stabilire quando ricorrere alla cifratura?

vCISO - Virtual CISO

  • Security Program Maturity Assessment
  • Security Policy Review and Guidance
  • Security Architecture Review

Articolo NIS2 21.i

Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset.

Sono state identificati gli asset in scope, monitorati attivamente e le vulnerabilità e le minacce sono gestite?

È fondamentale che tutti i processi critici e le relative risorse siano adeguatamente identificati, documentati e protetti da adeguate misure di sicurezza.

vCISO - Virtual CISO

  • Security Program Maturity Assessment
  • Security Policy Review and Guidance

Vulnerability Management Service (MVS)

MDR - Multi-Signal MDR

Articolo NIS2 21.j

Impiego di soluzioni di autenticazione a due fattori o di autenticazione continua, comunicazioni vocali, video e testuali sicure e sistemi di comunicazione di emergenza sicuri all'interno dell'organizzazione, dove è necessario

Viene utilizzata l'autenticazione a due fattori per gli accessi critici (sistemi/servizi), l'accesso remoto, gli accessi con privilegi e l'accesso al cloud?

vCISO - Virtual CISO

  • Security Program Maturity Assessment
  • Security Architecture Review

Mappatura tra i controlli NIS2 ed i servizi ISGroup

NIS2 Articolo 21.a

Requisiti minimi di conformità NIS2 Politiche per l'analisi dei rischi e sulla sicurezza dei sistemi informativi.
Obiettivo di sicurezza Documentare le politiche di sicurezza, comunicarle e valutarle.

Servizi di ISGroup a copertura del requisito:

  • Virtual CISO (vCISO)
    Security Program Maturity Assessment
    Security Policy Review and Guidance


NIS2 Articolo 21.b

Requisiti minimi di conformità NIS2 Gestione degli incidenti.
Obiettivo di sicurezza Creare processo per la segnalazione degli incident significativi.
Implementare un sistema di ticket per la gestione e documentazione del triage dal rilevamento alla risposta degli incident.
Creare un processo per prevenire, rilevare e rispondere agli incident.

Servizi di ISGroup a copertura del requisito:

  • Virtual CISO (vCISO)
    Security Incident Response Planning
    Security Program Maturity Assessment
  • Digital Forensics and Incident Response (DFIR)
  • Multi-Signal MDR (MDR)


NIS2 Articolo 21.c

Requisiti minimi di conformità NIS2 Business Continuity (BC).
Obiettivo di sicurezza Gestione dei backup e Disaster Recovery (DR) e gestione delle crisi.

Servizi di ISGroup a copertura del requisito:

  • Virtual CISO (vCISO)
    Security Program Maturity Assessment
    Security Incident Response Planning

NIS2 Articolo 21.d

Requisiti minimi di conformità NIS2 Sicurezza della Supply Chain.
Obiettivo di sicurezza Assicurarsi che vengano considerati gli aspetti relativi alla sicurezza nei rapporti tra l’organizzazione e i suoi fornitori diretti o di servizi.
Identificare i rischi della Supply Chain e implementare misure per la mitigazione del rischio.

Servizi di ISGroup a copertura del requisito:

  • Virtual CISO (vCISO)
    Vendor Risk Management


NIS2 Articolo 21.e

Requisiti minimi di conformità NIS2 Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità.
Obiettivo di sicurezza L’organizzazione è in grado di identificare, monitorare e allertare.
Possiede le capacità per rispondere ad una minaccia.

Servizi di ISGroup a copertura del requisito:

  • Virtual CISO (vCISO)
    Security Program Maturity Assessment
  • Multi-Signal MDR (MDR)
  • Vulnerability Management Service (MVS)
  • Penetration Test (PT)
    Network Penetration Testing (NPT)
    Web Application Penetration Testing (WAPT)
    Mobile Application Security Testing (MAST)
    Ethical Hacking (EH)

NIS2 Articolo 21.f

Requisiti minimi di conformità NIS2 Politiche e procedure per valutare l’efficacia delle misure di sicurezza informatica e delle informazioni.
Obiettivo di sicurezza Le politiche di sicurezza informatica sono documentate, comunicate e valutate per una corretta gestione del rischio.

Servizi di ISGroup a copertura del requisito:

  • Virtual CISO (vCISO)
    Security Program Maturity Assessment
    Security Policy Review and Guidance
  • Penetration Test (PT)
    Network Penetration Testing (NPT)
    Web Application Penetration Testing (WAPT)
    Mobile Application Security Testing (MAST)
    Ethical Hacking (EH)


NIS2 Articolo 21.g

Requisiti minimi di conformità NIS2 Pratiche basilari di Cyber Hygiene
Formazione sulla sicurezza informatica.
Obiettivo di sicurezza Formalizzare un programma di gestione delle vulnerabilità, Patch e Change.
Svolgere regolarmente una formazione sulla consapevolezza della sicurezza informatica.

Servizi di ISGroup a copertura del requisito:

  • Virtual CISO (vCISO)
    Security Program Maturity Assessment
    Security Policy Review and Guidance
  • Cyber Threat Simulation (CTS)
    Managed Phishing
    Security Awareness Training


NIS2 Articolo 21.h

Requisiti minimi di conformità NIS2 Politiche e procedure per l'utilizzo di tecniche crittografiche.
Obiettivo di sicurezza Implementare politiche e procedure per l'utilizzo della crittografia e per stabilire quando ricorrere alla cifratura.

Servizi di ISGroup a copertura del requisito:

  • Virtual CISO (vCISO)
    Security Program Maturity Assessment
    Security Policy Review and Guidance
    Security Architecture Review


NIS2 Articolo 21.i

Requisiti minimi di conformità NIS2 Sicurezza delle risorse umane.
Controllo degli accessi.
Gestione degli asset.
Obiettivo di sicurezza Identificare gli asset in scope, eseguire un monitoraggio attivo e gestite le vulnerabilità e le minacce.
È fondamentale che tutti i processi critici e le relative risorse siano adeguatamente identificati, documentati e protetti da adeguate misure di sicurezza

Servizi di ISGroup a copertura del requisito:

  • Virtual CISO (vCISO)
    Security Program Maturity Assessment
    Security Policy Review and Guidance
  • Multi-Signal MDR (MDR)
  • Vulnerability Management Service (MVS)


NIS2 Articolo 21.j

Requisiti minimi di conformità NIS2 Impiego di soluzioni di autenticazione a due fattori o di autenticazione continua.
Comunicazioni audio, video e testuali sicure.
Sistemi di comunicazione di emergenza sicuri all'interno dell'organizzazione.
Obiettivo di sicurezza Utilizzare l'autenticazione a due fattori per gli accessi critici (sistemi/servizi), l'accesso remoto, gli accessi con privilegi e l'accesso al cloud.

Servizi di ISGroup a copertura del requisito:

  • Virtual CISO (vCISO)
    Security Program Maturity Assessment
    Security Architecture Review

Cos’è il NIS2?

NIS2 è l'aggiornamento di una direttiva UE sulla cybersicurezza. Stabilisce regole armonizzate per l'intera Unione Europea.

Qual è la differenza tra NIST e NIS2?

La Direttiva NIS2, nota anche come Direttiva sulla sicurezza delle reti e dei sistemi informativi, è un quadro cruciale che stabilisce gli standard e i requisiti di cybersecurity per le aziende. La NIS2 è una normativa dell'Unione Europea (UE) che mira a migliorare la sicurezza informatica degli operatori di infrastrutture vitali e dei fornitori di servizi digitali. Il suo obiettivo primario è garantire la continuità dei servizi essenziali e la protezione delle infrastrutture critiche dalle minacce informatiche. La NIS2 si basa sulla direttiva NIS originale emanata nel 2016, apportando importanti aggiornamenti volti a semplificare il processo di attuazione. Secondo il documento The NIS2 Directive Briefing del Parlamento europeo, i tre obiettivi generali della direttiva NIS2 sono:

Aumentare il livello di resilienza informatica di un insieme completo di imprese che operano nell’Unione Europea in tutti i settori interessati.

Ridurre le incoerenze nella resilienza nel mercato interno nei settori già coperti dalla direttiva.

Migliorare il livello di consapevolezza situazionale comune e la capacità collettiva di preparazione e risposta.

Di conseguenza, alcuni sviluppi chiave della NIS2 includono:

Ampliamento del campo di applicazione: In base alla nuova direttiva, tutte le medie e grandi imprese di alcuni settori selezionati rientreranno nel quadro normativo, così come le micro-organizzazioni ritenute centrali per la società.

Requisiti più severi per la segnalazione degli incidenti: Il quadro normativo abbassa la soglia per gli incidenti che devono essere essere segnalati.

Chi deve rispettare la NIS2?

Devono rispettare la NIS2 le aziende dell'Unione Europea che operano in 11 settori considerati critici e in 7 settori considerati importanti. La normativa impone a queste aziende di proteggere i propri sistemi dagli attacchi informatici e di avere piani efficaci per gestire gli incidenti. Per i dettagli specifici sui settori coinvolti è necessario consultare il testo completo della direttiva NIS2.

Quali sono le regole di notifica delle violazioni NIS2?

La NIS2 impone regole severe per la segnalazione delle violazioni informatiche (Art. 23). La notifica deve essere effettuata "senza indebito ritardo", entro 24 ore dalla scoperta di un incidente significativo (segnalazione iniziale) e con una valutazione iniziale entro 72 ore. Questo vale anche se non ci sono dati personali coinvolti.

Quali sono le sanzioni per la non conformità alla NIS2?

Come il GDPR, la non conformità al NIS2 comporta pesanti sanzioni. Ad esempio, l'articolo 34 della Direttiva NIS2 stabilisce le seguenti penalità per la non conformità: per le Entità essenziali fino a €10 milioni o il 2% del fatturato annuo mondiale, per le Entità importanti fino a €7 milioni o l'1.4% del fatturato annuo mondiale.

Sei interessato?

Contattaci per ricevere un preventivo dei servizi offerti da ISGroup alla tua azienda.

Risorse utili:

  • Sito web della NIS2
  • Guida completa alla conformità NIS2 di DLA Piper
  • Lavorare con noi è semplice, basta chiamare il numero (+39) 045 4853232 o inviare un e-mail per conoscerci e discutere delle tue necessità nell'IT Security.

    Richiedi preventivo per
    CONFORMITÀ ALLA DIRETTIVA EUROPEA NIS2

    🎉 Vogliamo parlarti! Fissa un appuntamento!