SICUREZZA INFORMATICA
alla luce della Direttiva NIS2
La Direttiva NIS2 rappresenta un’importante evoluzione nel panorama normativo europeo in materia di cybersecurity. Successore della direttiva NIS del 2016, il nuovo quadro normativo è stato introdotto per affrontare le crescenti minacce informatiche e migliorare la resilienza delle infrastrutture critiche e dei servizi essenziali all’interno dell’Unione Europea. Con l’ampliamento della portata della direttiva e l’adozione di requisiti più rigorosi, NIS2 obbliga un numero maggiore di settori e organizzazioni a implementare misure di sicurezza avanzate, favorendo una gestione proattiva dei rischi e una maggiore prontezza nella risposta agli incidenti informatici. Per tutte le imprese operanti nell’UE, il rispetto della conformità entro la scadenza del 17 ottobre 2024 è essenziale per evitare pesanti sanzioni e rafforzare la propria sicurezza contro minacce sempre più sofisticate.
Sei Pronto per la Nuova Direttiva NIS2 sulla Cybersecurity dell’UE? Scadenza di Conformità: 17 ottobre 2024
L’Unione Europea si appresta a implementare la nuova Direttiva sui Sistemi di Rete e Informazione [Direttiva (UE) 2022/2555], comunemente nota come NIS2, il 17 ottobre 2024. Questa direttiva mira a rafforzare le misure di cybersecurity e proteggere le infrastrutture critiche in tutti gli Stati membri. Con l’avvicinarsi della scadenza, è essenziale che le aziende che operano nell’UE comprendano i nuovi requisiti e si assicurino di essere pienamente conformi.
Cos’è NIS2?
NIS2 è il successore della direttiva NIS originale, introdotta per rispondere al panorama in continua evoluzione delle minacce informatiche. Amplia la portata degli obblighi di cybersecurity, riflettendo la crescente dipendenza dai sistemi digitali e la maggiore sofisticazione degli attacchi informatici. La direttiva sottolinea l’importanza di pratiche di cybersecurity robuste per proteggere i servizi essenziali e le infrastrutture critiche.
A chi è Rivolta?
La Direttiva NIS2 si applica a un numero maggiore di settori rispetto alla sua predecessora. Utilizza un termine molto ampio (“entità”) per definire i soggetti interessati, intendendo: “qualsiasi persona fisica o giuridica creata e riconosciuta come tale ai sensi del diritto nazionale del proprio luogo di stabilimento, che può, agendo in proprio nome, esercitare diritti e essere soggetta a obblighi”. Pertanto, tale termine include sia le strutture aziendali che le amministrazioni pubbliche.
Entità Essenziale:
Principalmente (ma non necessariamente) soggetti di medie e grandi dimensioni operanti in settori come energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, amministrazione pubblica e spazio.
Entità Importanti:
Altri soggetti (sebbene non di medie o grandi dimensioni) operanti nei settori sopra elencati e determinati soggetti principalmente operanti in settori come servizi postali, gestione dei rifiuti, chimica, produzione alimentare, produzione di dispositivi medici, elettronica, alcuni tipi di macchinari e attrezzature, veicoli a motore, fornitori digitali e organizzazioni di ricerca.
Sia le grandi organizzazioni che le piccole e medie imprese (PMI) all’interno di questi settori devono essere conformi. Inoltre, i fornitori di servizi gestiti (MSP) e i fornitori terzi devono conformarsi agli standard della direttiva quando forniscono servizi a queste entità.
Requisiti Chiave di NIS2:
Gestione del Rischio Potenziata, le organizzazioni devono adottare pratiche di gestione del rischio complete che includano:
Misure Tecniche:
Implementazione di soluzioni di sicurezza all’avanguardia per prevenire, rilevare e rispondere alle minacce informatiche.
Misure Organizzative: Definizione di politiche e procedure chiare per la governance della cybersecurity.
Sicurezza della Catena di Fornitura:
Valutazione e gestione dei rischi associati ai fornitori e ai terzi. 2. Obblighi di Segnalazione degli Incidenti In caso di incidente informatico significativo.
Le organizzazioni devono:
Notificare Tempestivamente le Autorità: Inviare una prima segnalazione entro 24 ore dalla rilevazione. Relazione Dettagliata: Inviare una relazione completa entro 72 ore, descrivendo l’impatto e le misure di mitigazione adottate. Revisione Post-Incidente: Condurre un’analisi approfondita e riferire le conclusioni entro un mese per prevenire future occorrenze. 3. Governance e Responsabilità Gli organi direttivi sono direttamente responsabili per la conformità.
Le responsabilità includono:
Supervisione Strategica: Assicurarsi che la cybersecurity sia integrata nelle strategie aziendali. Formazione del Personale: Fornire regolare formazione di sensibilizzazione sulla cybersecurity a tutti i dipendenti. Applicazione delle Politiche: Implementazione e applicazione delle politiche interne in linea con i requisiti NIS2. 4. Sicurezza del DNS Dato il ruolo cruciale del Domain Name System (DNS) nella funzionalità di Internet,
Le organizzazioni devono:
Proteggere l’Integrità del DNS: Implementare misure per prevenire attacchi al DNS come il poisoning o lo spoofing. Garantire la Disponibilità del Servizio: Mantenere sistemi robusti per evitare interruzioni di servizio.
Sanzioni per il Mancato Rispetto Il mancato rispetto di NIS2 può comportare sanzioni severe:
Per le Entità Essenziali: Fino a 10 milioni di euro o il 2% del fatturato globale annuale totale, a seconda di quale sia superiore.
Per le Entità Importanti: Fino a 7 milioni di euro o l’1,4% del fatturato globale annuale totale, a seconda di quale sia superiore. Queste sanzioni significative sottolineano l’importanza di prendere misure proattive verso la conformità.
Come Può Aiutarti Linkwireless Navigare tra le complessità della conformità NIS2 può essere una sfida.
Linkwireless è qui per aiutare la tua organizzazione a comprendere e soddisfare questi nuovi requisiti normativi in modo efficiente ed efficace.
I Nostri Servizi Includono:
Audit di Conformità:
Valutazione del tuo attuale assetto di cybersecurity rispetto agli standard NIS2.
Sviluppo di Politiche:
Assistenza nella creazione e implementazione di politiche e procedure di cybersecurity solide.
Programmi di Formazione:
Sessioni di formazione su misura per il team direttivo e il personale per aumentare la consapevolezza sulla cybersecurity.
Audit di Conformità:
Valutazione del tuo attuale assetto di cybersecurity rispetto agli standard NIS2.
Sviluppo di Politiche:
Assistenza nella creazione e implementazione di politiche e procedure di cybersecurity solide.
Programmi di Formazione:
Sessioni di formazione su misura per il team direttivo e il personale per aumentare la consapevolezza sulla cybersecurity.
Pianificazione della Risposta agli Incidenti:
Aiuto nello sviluppo di piani completi per rilevare, segnalare e rispondere agli incidenti informatici.
Gestione del Rischio nella Catena di Fornitura:
Consulenza sulle migliori pratiche per valutare e gestire i rischi dei terzi.
Parla con un Esperto Contatta Linkwireless per discutere di come possiamo supportare il tuo percorso verso la conformità con NIS2.
La sicurezza della tua azienda è la nostra priorità. Lascia che Linkwireless ti offra l’esperienza di cui hai bisogno per affrontare NIS2 con fiducia.
Firewall
La sicurezza informatica è oggi trascurata da moltissimi utilizzatoridella rete.
Spesso non si è consapevoli del pericolo che si corre in rete
e tutte le conseguenze che ne derivano da un utilizzo improprio.
Se per l’utente domestico questo potrebbe risultare un problema relativo, in ambito pubblico non ricorrere alle dovute protezioni, oltre alla possibilità di perdere dei dati sensibili si rischia il “blocco delle attività”, con una perdita di efficienza diretta e importante.
Per una pubblica amministrazione, dotarsi di un firewall che funge da barriera, alle minacce che arrivano dalla grande rete è una necessità al pari di quella di dotarsi di sistemi digitali. La presenza di un firewall permette di filtrare i dati, applicare azioni di controllo, monitorate i pacchetti dati entranti e in uscita dalla rete.
In definitiva quindi, ha lo scopo di impedire a malintenzionati di
infettare i sistemi informatici con virus, worm, o di rubare i dati come password e dati sensibili. Utile per tutti coloro che non hanno il controllo assoluto sula navigazione a causa del numero di periferiche (PC, Server o qualsiasi periferiche collegata alla rete) o di utenti che lasciano il PC accesso per collegarsi a distanza. Avere una rete senza firewall è come lasciare la propria porta di casa aperta con le chiavinella toppa
Smart Working opportunità o pericolo?
Il lavoro a distanza è un approccio flessibile ed efficace, e dà una risposta a molteplici problematiche inerenti la mobilità e i luoghi di lavoro, ma nasconde in se dei pericoli telematici che vanno gestiti.
Per questo il Cert-PA di AgID ha elaborato un vademecum con le raccomandazioni, indispensabili al contrasto di attacchi informatici.
• Attuare policy e raccomandazioni per i lavoratori fuori sede che prevedono metodologie di collegamento disciplinate e protette
• Utilizzare sui PC sistemi operativi con il supporto garantito
• Verificare la corretta installazione degli aggiornamenti di sicurezza
• Assicurarsi che i software di protezione del sistema operativo
(Firewall, Antivirus, ecc) siano abilitati e aggiornati
• Assicurarsi che gli accessi al sistema operativo siano protetti da
una password sicura e conforme alle policy emanate (primo punto)
• Non installare software proveniente da fonti/repository non ufficiali
• Bloccare l’accesso al sistema e/o configura la modalità di blocco
automatico quando ci si allontana dalla postazione di lavoro
• Non cliccare su link o allegati contenuti in email sospette
• Utilizzare l’accesso a connessioni Wi-Fi adeguatamente protette
• Utilizzare dispositivi mobili (pen-drive, hdd-esterno, etc) di cui si
conosce la provenienza
• Disconnettersi dai servizi/portali conclusa la sessione di lavoro
INOLTRE: Vanno attuate politiche di controllo degli accessi:
raccogliendo log dell’operato degli utenti; utilizzando VPN con certificati di
sicurezza; attuando ACL per filtrare le utenze.
