OverRISK - prevenzione difesa e risposta
null

Direttiva NIS 2: sicurezza delle reti e dei sistemi informativi

Direttiva NIS 2: svolta sulla sicurezza informatica

Il Parlamento UE ha approvato la Direttiva NIS 2 (Network and Information Security), che introduce nuovi obblighi di cyber security per rafforzare le misure di protezione contro le minacce informatiche.

La Direttiva NIS2 (Network and Information Security), che aggiorna la precedente Direttiva NIS del 2016, è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022;

è entrata in vigore il 16 gennaio 2023; ha un periodo di implementazione di 21 mesi avente scadenza il 17 ottobre 2024​.

Dopo tale data occorrerà essere compliance alla direttiva NIS 2.

*Clicca qui per leggere la Direttiva NIS 2

 

FAQ

A chi si applica la Direttiva NIS 2?

Chi riguarda:

  • le aziende di 18 settori con +50 dipendenti o un fatturato maggiore >10 milioni

 

Settori coinvolti:

  • Energia
  • Trasporti
  • Settore bancario
  • Infrastrutture dei mercati finanziari
  • Settore sanitario
  • Acqua potabile
  • Acque reflue
  • Infrastrutture digitali
  • Gestione servizi TIC (business to business)
  • Pubblica Amministrazione
  • Spazio
  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Fabbricazione, produzione e distribuzione di sostanze chimiche
  • Produzione, trasformazione e distribuzione di alimenti
  • Fabbricazione
  • Fornitori di servizi digitali
  • Ricerca

Quali sono le misure di gestione dei rischi di cybersecurity previste dalla Direttiva NIS 2?

Articolo 21
Misure di gestione dei rischi di cibersicurezza

Le misure sono basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e comprendono almeno gli elementi seguenti:

a) politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
b) gestione degli incidenti;
c) continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
d) sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
e) sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
f) strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza;
g) pratiche di igiene informatica di base e formazione in materia di cibersicurezza;
h) politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
i) sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Quali sono gli obblighi di segnalazione previsti dalla Direttiva NIS 2?

Articolo 23
Obblighi di segnalazione

1. I soggetti essenziali e importanti devono notificare senza indebito ritardo al proprio CSIRT o, se opportuno, alla propria autorità competente, eventuali incidenti che hanno un impatto significativo sulla fornitura dei loro servizi. Se opportuno, i soggetti interessati notificano senza indebito ritardo ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi. Tali soggetti devono comunicare, tra l’altro, qualunque informazione che consenta al CSIRT o, se opportuno, all’autorità competente di determinare l’eventuale impatto transfrontaliero dell’incidente. La sola notifica non espone il soggetto che la effettua a una maggiore responsabilità.

2. Se opportuno, i soggetti essenziali e importanti devono comunicare senza indebito ritardo ai destinatari dei loro servizi, potenzialmente interessati da una minaccia informatica significativa, qualsiasi
misura o azione correttiva che tali destinatari sono in grado di adottare in risposta a tale minaccia. Se opportuno, i soggetti informano tali destinatari anche della minaccia informatica significativa stessa.

3. Un incidente è considerato significativo se:
a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
b) si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

4. I soggetti interessati devono trasmettere al CSIRT o, se opportuno, all’autorità competente:
a) senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, un preallarme che indichi se l’incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero;
b) senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, una
notifica dell’incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale
dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di
compromissione;
c) su richiesta di un CSIRT o, se opportuno, di un’autorità competente, una relazione intermedia sui pertinenti
aggiornamenti della situazione;
d) una relazione finale entro un mese dalla trasmissione della notifica dell’incidente di cui alla lettera b), che comprenda:
i) una descrizione dettagliata dell’incidente, comprensiva della sua gravità e del suo impatto;
ii) il tipo di minaccia o la causa di fondo che ha probabilmente innescato l’incidente;
iii) le misure di attenuazione adottate e in corso;
iv) se opportuno, l’impatto transfrontaliero dell’incidente;
e) in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), gli Stati membri
provvedono affinché i soggetti interessati forniscano una relazione sui progressi in quel momento e una relazione
finale entro un mese dalla gestione dell’incidente.
In deroga al primo comma, lettera b), un prestatore di servizi fiduciari, in relazione a incidenti significativi che abbiano un
impatto sulla fornitura dei suoi servizi fiduciari, informa il CSIRT o, se opportuno, l’autorità competente senza indebito
ritardo e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo.

Cosa possiamo fare per te?

Supportarti nell’adeguamento alla NIS 2 con la nostra OverRISK Suite. 
Contattaci: commerciale@overlux.tech

Viviamo in un contesto in cui gli attacchi informatici sono sempre più numerosi, gravi, sofisticati e rivolti a tutti i settori e il fattore umano è l’anello debole della sicurezza informatica.

Continuare a sottovalutare lo stato di fatto, significa esporre l’azienda a rischi sempre più impattanti da un punto di vista economico, lavorativo e reputazionale.

La Gestione del Rischio informatico è un percorso complesso e costante da affrontare con consapevolezza

Il contesto di oggi

PMI nel mirino della criminalità informatica

Secondo l’azienda italiana Swascan, l’80% dei cybercrimini contro imprese con fatturato inferiore a 250 mln euro, mentre il 51% delle realtà colpite ha meno di 100 dipendenti.

[…] “L’attenzione delle gang ransomware nei confronti della PMI italiana va ricondotta alla maggiore facilità nel colpire questo settore, caratterizzato da investimenti proporzionalmente minori nella cybersicurezza, da competenze meno disponibili e da una differente sensibilità del personale riguardo le minacce della rete”.

Fonte: Panorama

Sicurezza informatica nelle Pmi: a causare i danni sono spesso i dipendenti

Secondo Kaspersky, le piccole e medie aziende sono nel mirino di quasi la metà dei cyber attacchi.E quasi la totalità delle violazioni è da attribuire all’errore umano. […]

Dipendenti pericolosi quanto gli hacker: ecco perché

La mancanza di consapevolezza da parte dei dipendenti è alla base della serie di violazioni e rischi cyber che possano provocare danni e perdite, anche sul fronte reputazionale, delle piccole e medie imprese.

Rapporto Clusit 2023 sulla sicurezza ICT in Italia

I primi attacchi ransomware condotti dai cyber-criminali usavano come unica leva estorsiva l’indisponibilità dei dati dell’organizzazione colpita, ottenuta attraverso la loro cifratura. Per incrementare ulteriormente il potere ricattatorio dell’attacco ransomware, i cyber-criminali hanno nel tempo sviluppato ulteriori tattiche che, usate in combinazione fra loro, permettono di ottenere livelli multipli di estorsione: doppia, tripla e quadrupla [..].

OverRISK suite: Il percorso costante di difesa, prevenzione e risposta ai rischi informatici

OverRISK Suite - prevenzione, difesa e risposta

Sei curioso?
Ti piacerebbe conoscere meglio la nostra OverRISK Suite?

Contattaci: commerciale@overlux.tech

1 - La consapevolezza per agire

 

Il punto di partenza di una strategia di difesa efficace, è quello di prendere consapevolezza delle vulnerabilità di una infrastruttura o sistema informatico.

Un IT Assessment è la valutazione di una infrastruttura di rete volta a individuare le vulnerabilità, definire il livello di rischio e fornire un piano di azioni (investimenti hardware e software, policy aziendali, formazione, …) per mitigare il rischio informatico. Quest’ultimo non è solo dovuto agli attacchi informatici ma anche a comportamenti errati interni all’azienda.

L’aspetto sicuramente più rilevante è che le vulnerabilità sono in continuo divenire perché legate all’obsolescenza tecnologica, ai mancati aggiornamenti software/applicativi e al comportamento errato delle persone, a tutti i livelli, a causa della scarsa cultura e formazione sulla sicurezza informatica.

OverRISK - Conoscenza&Consapevolezza

Assessment

OverRISK - Assessment Q

Assessment Q (Question)

Questionari, di diverso livello, che si svolgono con un IT Security Specialist

Un IT Assessment può essere svolto in diverse modalità e con diversi livelli di profondità, a seconda della complessità che si presenta a un IT Security Specialist e alle eventuali esigenze aziendali espresse.

Il Questionario di perimetro serve a conoscere tipologie e quantità degli asset informatici che formano la struttura di rete, per ciascuna sede, con l’obiettivo di determinare il perimetro d’indagine dell’assessment.

Il Questionario per funzioni serve ad avere un’analisi qualitativa e quantitativa per funzioni: identificazione, protezione, rilevazione, risposta e ripristino, con livelli di profondità crescenti (n. question).

null

Assessment A (Action)

Testi più o meno invasivi che mettono alla ptrova la sicurezza informatica

Dopo l’indagine serve passare ad azioni, per mettere alla prova la sicurezza informatica e la formazione delle persone, attraverso gli Assessment A.

Gli Assessment A vengoni condotti da Hacker Etici e/o IT Security Specialist perché richiedono un alto livello di competenze e una profonda conoscenza degli strumenti a supporto delle azioni.
Gli Assessment A sono consigliati dopo aver mitigato quanto già rilevato precedentemente nell’Assessment Q.

Mappatura degli asset e delle connessioni di rete

Mappatura Asset e Reti

Mappatura

asset e reti

Immagine mappatura

Mappaturasapere quali sono gli asset e connessi tra di loro nella rete.

La mappatura è fondamentale per implementare dei sistemi di monitoraggio degli asset e delle connessioni di rete per interventi, mirati e tempestivi, in caso di anomalie di utilizzo della rete, tentativi di intrusione, risorse insufficienti, traffico anomalo, procedure non andata a buon fine,…)

1 - La consapevolezza per agire

 

Il punto di partenza di una strategia di difesa efficace, è quello di prendere consapevolezza delle vulnerabilità di una infrastruttura o sistema informatico.

Un IT Assessment è la valutazione di una infrastruttura di rete volta a individuare le vulnerabilità, definire il livello di rischio e fornire un piano di azioni (investimenti hardware e software, policy aziendali, formazione, …) per mitigare il rischio informatico. Quest’ultimo non è solo dovuto agli attacchi informatici ma anche a comportamenti errati interni all’azienda.

L’aspetto sicuramente più rilevante è che le vulnerabilità sono in continuo divenire perché legate all’obsolescenza tecnologica, ai mancati aggiornamenti software/applicativi e al comportamento errato delle persone, a tutti i livelli, a causa della scarsa cultura e formazione sulla sicurezza informatica.

OverRISK - Conoscenza&Consapevolezza

Assessment

OverRISK - Assessment Q

Assessment Q (Question)

Questionari, di diverso livello, che si svolgono con un IT Security Specialist

Un IT Assessment può essere svolto in diverse modalità e con diversi livelli di profondità, a seconda della complessità che si presenta a un IT Security Specialist e alle eventuali esigenze aziendali espresse.

Il Questionario di perimetro serve a conoscere tipologie e quantità degli asset informatici che formano la struttura di rete, per ciascuna sede, con l’obiettivo di determinare il perimetro d’indagine dell’assessment.

Il Questionario per funzioni serve ad avere un’analisi qualitativa e quantitativa per funzioni: identificazione, protezione, rilevazione, risposta e ripristino, con livelli di profondità crescenti (n. question).

OverRISK - Assessment A

Assessment A (Action)

Testi più o meno invasivi che mettono alla ptrova la sicurezza informatica

Dopo l’indagine serve passare ad azioni, per mettere alla prova la sicurezza informatica e la formazione delle persone, attraverso gli Assessment A.

Gli Assessment A vengoni condotti da Hacker Etici e/o IT Security Specialist perché richiedono un alto livello di competenze e una profonda conoscenza degli strumenti a supporto delle azioni.
Gli Assessment A sono consigliati dopo aver mitigato quanto già rilevato precedentemente nell’Assessment Q.

Mappatura degli asset e delle connessioni di rete

Mappatura Asset e Reti

Mappatura

asset e reti

Immagine mappatura

Mappaturasapere quali sono gli asset e connessi tra di loro nella rete.

La mappatura è fondamentale per implementare dei sistemi di monitoraggio degli asset e delle connessioni di rete per interventi, mirati e tempestivi, in caso di anomalie di utilizzo della rete, tentativi di intrusione, risorse insufficienti, traffico anomalo, procedure non andata a buon fine,…)

2 - Chi, cosa, come, quando, perché

Il lavoro svolto con l’Assessment fornisce alla direzione quella consapevolezza fondamentale per stabilire cosa va gestito e con quale priorità.

Lo svolgimento di alcune tipologie di Assessment A rimane sempre un punto consigliato prima di affrontare il Piano di Mitigazione del Rischio (PMR).

Il PMR è un progetto complesso che si affronta a step:

OverRISK - Scelte di mitigazione del Rischio
null
2 - Chi, cosa, come, quando, perché

Il lavoro svolto con l’Assessment fornisce alla direzione quella consapevolezza fondamentale per stabilire cosa va gestito e con quale priorità.

Lo svolgimento di alcune tipologie di Assessment A rimane sempre un punto consigliato prima di affrontare il Piano di Mitigazione del Rischio (PMR).

Il PMR è un progetto complesso che si affronta a step:

Piano di Mitigazione del Rischio
3 - Il modello organizzativo

L’Assessment ci ha dato consapevolezza; il PMR ci ha dato un Percorso di Mitigazione che non può prescindere dal monitoraggio della infrastruttura e delle sue vulnerabilità. Ciò comporta necessariamente la mutazione delle attività in carico alla gestione IT (IT Operation) in termini qualitativi e quantitativi e di conseguenza il suo modello organizzativo.

OverRISK - Il nuovo modello organizzativo
OverRISK - Monitoraggio&Controllo

“Serve un nuovo approccio alla sicurezza informatica per passare da interventi in emergenza, a danno avvenuto, ad attività di prevenzione grazie al monitoraggio, al controllo, a un sistema strutturato di gestione delle segnalazioni e al coinvolgimento di figure tecniche specialistiche esterne all’azienda”

3 - Il modello organizzativo

L’Assessment ci ha dato consapevolezza; il PMR ci ha dato un Percorso di Mitigazione che non può prescindere dal monitoraggio della infrastruttura e delle sue vulnerabilità. Ciò comporta necessariamente la mutazione delle attività in carico alla gestione IT (IT Operation) in termini qualitativi e quantitativi e di conseguenza il suo modello organizzativo.

OverRISK - Monitoraggio&Controllo

OverRISK - Il nuovo modello organizzativo

“Serve un nuovo approccio alla sicurezza informatica per passare da interventi in emergenza, a danno avvenuto, ad attività di prevenzione grazie al monitoraggio, al controllo, a un sistema strutturato di gestione delle segnalazioni e al coinvolgimento di figure tecniche specialistiche esterne all’azienda”

4 - La prima difesa

È ormai noto che l’anello debole della sicurezza informatica è il fattore umano delle PMI e micro-imprese perché non ha un’adeguata cultura e formazione sulla Cyber Security.

Per contrastare il trend che vede le persone tra le cause principali della perdita dei dati, serve formare il personale affinché possa utilizzare con maggiore consapevolezza la rete, riconoscere truffe e valutare azioni prima di eseguirle.
La formazione riguarda tutto il personale aziendale, nessuno escluso e va tarata in base al ruolo e all’utilizzo della rete.

Il personale formato è la prima linea di difesa:

  • attento ad azioni sospette
  • tempestivo nel segnalare stranezze
  • preparato ad agire con consapevolezza e responsabilità
OverRISK - Formazione
4 - La prima difesa

È ormai noto che l’anello debole della sicurezza informatica è il fattore umano delle PMI e micro-imprese perché non ha un’adeguata cultura e formazione sulla Cyber Security.

Per contrastare il trend che vede le persone tra le cause principali della perdita dei dati, serve formare il personale affinché possa utilizzare con maggiore consapevolezza la rete, riconoscere truffe e valutare azioni prima di eseguirle.
La formazione riguarda tutto il personale aziendale, nessuno escluso e va tarata in base al ruolo e all’utilizzo della rete.

Il personale formato è la prima linea di difesa:

  • attento ad azioni sospette
  • tempestivo nel segnalare stranezze
  • preparato ad agire con consapevolezza e responsabilità
OverRISK - Formazione
5 - Il gestionale IT

Per far collaborare in maniera strutturata tutte le figure coinvolte, è utile dotarsi di una piattaforma che faciliti la comunicazione, lo scambio di informazioni, la gestione efficace ed efficiente delle segnalazioni e la tracciabilità di chi ha fatto cosa.

IT Management Platform
Logo_OverRISK - IT Management Platform
  • null

    Info Assesment

    Raccolta informazioni da Assessment di tipo Q e A

  • null

    Info PMR

    Raccolta informazioni da attività previste da PMR

  • null

    Gestione

    Inventario asset, manutenzioni, utenti, flussi di processi

  • null

    Info Monitoraggio e Controllo

    Collettore di Log, VA Asset, Alert, analisi effettuate dal Team SOC

  • null

    Ticketing

    Sistema per gestire le segnalazioni e tracciare chi fa cosa

5 - Il gestionale IT

Per far collaborare in maniera strutturata tutte le figure coinvolte, è utile dotarsi di una piattaforma che faciliti la comunicazione, lo scambio di informazioni, la gestione efficace ed efficiente delle segnalazioni e la tracciabilità di chi ha fatto cosa.

Logo_OverRISK - IT Management Platform
IT Management Platform
  • null

    Info Assesment

    Raccolta informazioni da Assessment di tipo Q e A

  • null

    Info PMR

    Raccolta informazioni da attività previste da PMR

  • null

    Gestione

    Inventario asset, manutenzioni, utenti, flussi di processi

  • null

    Info Monitoraggio e Controllo

    Collettore di Log, VA Asset, Alert, analisi effettuate dal Team SOC

  • null

    Ticketing

    Sistema per gestire le segnalazioni e tracciare chi fa cosa

II edizione e-book

Mitigare il rischio informatico
La consapevolezza per agire

La meta è facile da delineare: voglio raggiungere un livello di sicurezza elevato. Ma il percorso? È nettamente più complicato sia su carta che nell’attuazione perché servono dei requisiti fondamentali, e di diversa natura, per affrontarlo con successo.
L’obiettivo, quindi, diventa il percorso.

Quali sono le domande da porsi una volta capito “dove voglio andare”:

  • ho la conoscenza della materia?
  • ho le competenze necessarie?
  • ho le risorse economiche?
  • ho la metodologia e l’organizzazione necessaria?
  • ho le energie per farlo?
  • ho messo in conto le difficoltà e gli imprevisti?
  • ho condiviso con il team il percorso evolutivo?
  • ho coinvolto tutte le figure professionali necessarie?

 

Richiedi l’e-book gratuito!
Scrivi a commerciale@overlux.tech

“Una bussola ti indica il nord dal punto in cui ti trovi, ma non può avvertirti delle paludi, dei deserti e degli abissi che incontrerai lungo il cammino. Se nel perseguire la tua destinazione ti spingi oltre, non curante degli ostacoli, e affondi in una palude… a che serve sapere il nord?”

Dal film: LINCOLN

Mitigare il rischio informatico
II edizione e-book

Mitigare il rischio informatico
La consapevolezza per agire

Mitigare il rischio informatico

La meta è facile da delineare: voglio raggiungere un livello di sicurezza elevato. Ma il percorso? È nettamente più complicato sia su carta che nell’attuazione perché servono dei requisiti fondamentali, e di diversa natura, per affrontarlo con successo.
L’obiettivo, quindi, diventa il percorso.

Quali sono le domande da porsi una volta capito “dove voglio andare”:

  • ho la conoscenza della materia?
  • ho le competenze necessarie?
  • ho le risorse economiche?
  • ho la metodologia e l’organizzazione necessaria?
  • ho le energie per farlo?
  • ho messo in conto le difficoltà e gli imprevisti?
  • ho condiviso con il team il percorso evolutivo?
  • ho coinvolto tutte le figure professionali necessarie?

 

Richiedi l’e-book gratuito!
Scrivi a commerciale@overlux.tech

“Una bussola ti indica il nord dal punto in cui ti trovi, ma non può avvertirti delle paludi, dei deserti e degli abissi che incontrerai lungo il cammino. Se nel perseguire la tua destinazione ti spingi oltre, non curante degli ostacoli, e affondi in una palude… a che serve sapere il nord?”

Dal film: LINCOLN

Vuoi conoscere il livello di rischio IT della tua azienda?

Richiedi 2 ore di formazione online gratuita

Ti daremo la metodologia per costruire il tuo percorso costante di mitigazione, prevenzione e difesa dal rischio informatico.