Buoni propositi di Cyber Security per il 2023 o misure di Cyber Security richieste dalla legge?

NIS2, la nuova legge sulla cybersecurity.

La direttiva NIS2 (Network and Information Systems) è stata adottata nel novembre 2022 come nuova direttiva europea sulla cybersecurity e impone alle organizzazioni di rispettare diversi requisiti per tenere lontani i criminali informatici. Non ne avete ancora sentito parlare? Forse è il caso di continuare a leggere! Perché la NIS2 prevede anche la responsabilità amministrativa e la responsabilità delle persone fisiche.

Legislazione entro la metà del 2024!

Come il GDPR europeo per la legislazione sulla privacy, anche il NIS2 europeo diventa una legislazione obbligatoria per le organizzazioni elencate di seguito. Il GDPR è diventato l'AVG nei Paesi Bassi, mentre il NIS2 ha un nome olandese, NIB2 (Network and Information Security Directive). In quanto legislazione olandese, dovrà essere attuata nella seconda metà (settembre) del 2024 (21 mesi dopo l'adozione). Per inciso, questo vale per tutti i 27 Stati membri europei.

Il "2" deriva dal fatto che la NIS esisteva già, ovvero dal 2016. Da questa NIS(1), nel 2018 è nata la legge sulla sicurezza delle reti e dei sistemi informativi (WBNI), che ha imposto un obbligo di notifica legale e misure di sicurezza ai fornitori di servizi digitali (DSP) e ai fornitori di servizi essenziali (AED), come le aziende elettriche e i fornitori di acqua potabile. Per inciso, i DSP e gli AED non sono più menzionati nella NIS2.

Gli ultimi anni hanno dimostrato che molte organizzazioni non hanno adottato a sufficienza le cosiddette "misure di base", citate anche dal National Cyber Security Centre (https://www.ncsc.nl/onderwerpen/basismaatregelen ). Molte organizzazioni si sono rivelate vulnerabili agli attacchi informatici. Spesso sono state colpite molte più organizzazioni rispetto a quella presa di mira, per cui l'impatto è stato spesso enorme. Il NIS2 dovrebbe rafforzare la resilienza informatica aumentando i livelli di sicurezza e imponendo l'adozione di "misure di base" per prevenire gli attacchi informatici e ridurne l'impatto.

Il NIS2 non è solo un aggiornamento sostanziale del NIS, ma sarà anche una legge locale olandese (NIB2) e anche in tutti gli altri Stati membri dell'UE. Inoltre, un cambiamento importante riguarda l'ambito di applicazione. Mentre prima si concentrava principalmente sui DSP e sui DAE sopra citati, per lo più grandi organizzazioni essenziali per le infrastrutture critiche, ora interesserà anche le organizzazioni importanti per queste ultime e quelle che le riforniscono. Inoltre, le dimensioni non contano più. È quindi molto probabile che la vostra organizzazione possa essere coperta dal NIS2. Si presume che circa 160.000 organizzazioni in Europa siano coperte dal NIS2 e circa 4.500 organizzazioni nei Paesi Bassi.

Inoltre, il NIS2 garantirà anche la collaborazione tra i settori e gli Stati membri dell'UE per aumentare e accelerare la segnalazione degli incidenti.

A chi si applica?

Il NIS2 copre le organizzazioni che svolgono attività commerciali che rientrano nelle "attività essenziali" nei seguenti settori chiave essenziali:

• Energia
• Trasporto
• Settore bancario
• Infrastrutture Mercato finanziario
• Assistenza sanitaria
• Fornitura di acqua potabile (di scarico)
• Infrastruttura digitale
• Gestione dei servizi ICT (B2B)
• Governo
• Aerospaziale

Tra queste figurano organizzazioni che offrono attività chiave quali:

• Fornitori di piattaforme di social networking
• Fornitori ausiliari di servizi di infrastruttura digitale (come i fornitori di reti e servizi pubblici di comunicazione elettronica)
• Fornitori di servizi di gestione delle TIC
• Servizi governativi
• Servizi postali e di corriere
• Fabbricazione, produzione e distribuzione di prodotti chimici
• Enti coinvolti nella produzione, trasformazione e distribuzione di prodotti alimentari
• Alcuni produttori (ad esempio, di apparecchiature mediche, componenti informatici o elettronici, macchinari, veicoli a motore o altri mezzi di trasporto) sono stati coinvolti in un processo di ricerca e sviluppo.
• Aziende farmaceutiche
• Istituti di ricerca
• Gestione dei rifiuti

Se siete fornitori di servizi per queste attività e avete più di 50 dipendenti e un fatturato superiore a 10 milioni, siete coperti dal NIS2. Ma il NIS2 si applica all'intera catena. Quindi, se fate affari con una di queste organizzazioni, anche voi rientrerete nel NIS2 o vi verranno imposti dei requisiti e questo fatto, in particolare, interesserà molte organizzazioni!

Applicazione del governo e multe

Come accennato nell'introduzione, gli Stati membri dell'UE tradurranno la NIS2 nella legislazione locale, che dovrebbe essere in vigore entro l'inizio del 2024 (cioè presto). Gli Stati membri coopereranno più strettamente tra loro e con l'UE e dovrebbero istituire uno o più Computer Security Incident Response Teams. Nei Paesi Bassi, alcuni di questi CSIRTS sono già attivi per determinati gruppi.

La mancata conformità al NIS2 potrebbe comportare multe fino al 2% del fatturato globale, con un massimo di 10 milioni di euro. Il processo sarà diverso da quello del GDPR-AVG, in quanto in questo caso il processo entra in vigore solo dopo una violazione dei dati. Con il NIS2, sarà possibile essere sottoposti ad audit anche in caso di sospetta violazione dei dati, oppure si potranno effettuare audit casuali. Va notato che le entità essenziali saranno sottoposte a una supervisione completa. Per le entità importanti, la supervisione sarà ex-post. Con il NIS2, tra l'altro, c'è la responsabilità amministrativa e la responsabilità!  

Rimane da vedere chi si occuperà dell'applicazione della legge e in che modo. Secondo alcune voci, il compito potrebbe spettare all'Agenzia per le Telecomunicazioni. Questo ente di regolamentazione è stato rinominato Rijksinspectie Digitale Infrastructuur (RDI) con effetto dall'1-1-2023, quindi forse c'è un collegamento con questo.

Cosa devo rispettare?

• A seconda che la vostra organizzazione rientri nelle attività essenziali o in quelle principali, dovrete rispettare una serie di requisiti. Diventa importante incorporare la gestione del rischio come processo e, di conseguenza, si dovranno effettuare analisi e trattamenti del rischio. 
• È obbligatorio registrare gli incidenti di sicurezza se hanno un impatto sulla disponibilità, l'integrità o la riservatezza e anche sull'autenticità dei dati. Come nel caso di una violazione dei dati ai sensi dell'AVG, questi devono essere segnalati entro 72 ore. E anche entro 24 ore se la disponibilità è stata compromessa e un rapporto completo sull'incidente deve essere presentato entro un mese. Inoltre, dovranno essere adottate misure di continuità operativa, gestione dei backup, disaster recovery e gestione delle crisi.
• Sicurezza dei fornitori e della catena di fornitura in relazione ai fornitori e ai prestatori di servizi;
• Misure di sicurezza e formazione generale sulla cybersecurity (vedi elenco sotto)

Se fate affari con una di queste organizzazioni che forniscono attività essenziali e importanti, dovrete anche avere le misure di sicurezza generali dell'azienda in ordine. Dopo tutto, è ovvio che queste organizzazioni impongono anche ai fornitori dei requisiti per dimostrare che sono state adottate le misure minime di base che anche loro devono rispettare. Dopo tutto, il NIS2 stabilisce i requisiti di sicurezza per la catena, quindi l'elenco che segue (in parte basato sui requisiti di sicurezza di base dell'NCSC) è un'ottima base:

• Adottare misure e formazione di base sulla cybersicurezza.
• Linee guida e procedure per l'uso della crittografia.
• Sicurezza degli accessi, gestione delle risorse e sicurezza delle risorse umane
• Assicurarsi che ogni applicazione e sistema generi informazioni di log sufficienti e che ne faccia un inventario adeguato.
• Applicare l'autenticazione a più fattori, se necessario
• Determinare chi ha accesso ai vostri dati e servizi
• Reti di segmenti
• Crittografare i supporti di memorizzazione contenenti informazioni aziendali sensibili
• Controllare quali dispositivi e servizi sono accessibili da Internet e proteggerli.
• Eseguite regolarmente il backup e il test dei vostri sistemi
• Installare gli aggiornamenti del software
• Evitare virus e altre minacce informatiche
• Inventariare le vulnerabilità eseguendo regolarmente valutazioni del rischio e scansioni delle vulnerabilità.

La dimostrabilità è importante, la certificazione ISO 27001? O in qualche altro modo?

Non esistono certificazioni NIS2 (ancora). In pratica, molti fornitori essenziali e fornitori di attività chiave vorranno dimostrare la conformità al NIS2. Date le loro responsabilità nella catena di fornitura, richiederanno a loro volta ai loro fornitori di dimostrarla. Ci si aspetta che uno standard come l'ISO 27001 per la sicurezza delle informazioni venga utilizzato più spesso a questo scopo. Dopo tutto, la maggior parte delle questioni menzionate nel NIS2 come misure sono affrontate anche in questo standard e, in termini di dimostrabilità, questo standard sarà una via facile per la dimostrabilità del NIS2. In qualità di fornitore della catena, sarà molto più facile continuare a fare affari con fornitori essenziali e fornitori di attività chiave.

Iniziare rapidamente con l'implementazione e la conformità a NIS2.

Con i nostri sistemi di gestione integrati CyberManager SGSI, SGIP, SGSC, SGCO (per la sicurezza delle informazioni, la privacy, la cybersecurity e la continuità operativa), offriamo sia alle PMI che alle grandi organizzazioni una soluzione per implementare e gestire le suddette problematiche in modo scalabile. Sia che siate fornitori di attività essenziali o chiave ai sensi della NIS2, sia che siate fornitori con requisiti leggermente diversi, c'è sempre un abbonamento adatto alla NIS2 e, ad esempio, allo standard ISO 27001. 

In CyberManager è disponibile un cruscotto NIS2 collegato alle misure menzionate in questo articolo, che consente di concentrarsi innanzitutto sui requisiti NIS2 e di dimostrarne la conformità. È inoltre possibile utilizzare le stesse misure e misure aggiuntive per l'implementazione della ISO 27001. Ciò consente di implementare NIS2 passo dopo passo, così come lo standard ISO 27001.

Il software CyberManager SGSI offre funzionalità standard per la gestione del rischio, la registrazione e la gestione di incidenti di sicurezza, violazioni di dati, vulnerabilità o altri flussi di lavoro, comprese le notifiche via e-mail agli interessati e la gestione della privacy tramite il SGIP. Inoltre, è disponibile un sistema di gestione dell'e-learning integrabile che consente di erogare corsi di formazione sulla consapevolezza del rischio e di gestire le valutazioni e la pianificazione della continuità operativa tramite il sistema di gestione della continuità operativa. Come indicato in precedenza, sono disponibili dashboard per NIS2 e ISO 27001. 

Le organizzazioni che utilizzano anche standard come NIST CSF, CSIR/BIACS, IEC 62443 o, ad esempio, i controlli CIS per un SGSI o una OT-Security possono controllarli anche attraverso i sistemi di gestione CyberManager SGSI o SGSC.

Per saperne di più, contattateci qui o tramite i nostri partner. Cliccate qui per saperne di più sulle nostre soluzioni CyberManager SGSI, SGIP, SGSC, SGCO.

Fonte:

Il NIS2 può essere consultato qui in diverse lingue

https://eur-lex.europa.eu/eli/dir/2022/2555/oj

https://www.europarl.europa.eu/doceo/document/TA-9-2022-0383_EN.pdf

https://www.europarl.europa.eu/news/en/press-room/20221107IPR49608/cybersecurity-parliament-adopts-new-law-to-strengthen-eu-wide-resilience 

https://www.ncsc.nl/onderwerpen/basismaatregelen