Summary

1. Direttiva NIS2 aggiornata
2. NIS2, si applica a più settori industriali
3. I cambiamenti chiave, dalla NIS alla NIS2
4. Gestione e reportistica degli incidenti
5. Gestione e reportistica degli incidenti con i servizi MDR Certego
6. Whitepaper

1. Direttiva NIS2 aggiornata

Nel gennaio 2023, gli Stati membri dell'UE hanno formalmente emanato una revisione della Direttiva sulla sicurezza delle reti e dei sistemi informatici (Network and Information Systems - NIS) 2016.

La direttiva NIS2 aggiornata è stata progettata per ampliare il campo di applicazione dell'originale. Concepita in risposta a diversi cyber attacchi ampiamente pubblicizzati e dannosi, la Direttiva NIS2 rafforza i requisiti di sicurezza, razionalizza gli obblighi di reportistica e introduce misure di supervisione più rigide e requisiti di applicazione più rigorosi.

La nuova Direttiva intende rafforzare le difese delle entità critiche contro le vulnerabilità della supply chain, gli attacchi ransomware e altre minacce informatiche.

Tutti i 27 Stati membri dell’EU sono tenuti a ratificare la Direttiva NIS2 entro ottobre 2024.

2. NIS2, si applica a più settori industriali

La direttiva NIS2 verrà applicata a un insieme più ampio e approfondito di entità critiche rispetto a quanto attualmente coperto dalla Direttiva NIS. Comprende nuovi settori e definisce due diversi tipi di entità critiche: essenziali e importanti. Gli obblighi sono gli stessi per entrambe, ma quelle essenziali sono soggette a misure di applicazione e sanzioni più rigorose.

La Direttiva NIS2 si applica a qualsiasi entità che fornisca servizi critici all’interno di un paese membro UE, indipendentemente da dove si trova tale entità.

• Organizzazioni essenziali:

  • Sanità
  • Energia
  • Trasporti
  • Finanza
  • Approvvigionamento idrico
  • Bancario
  • ICT
  • Acque reflue
  • Salute (farmaci, R&S, dispositivi medici critici)
  • Spaziale
  • Amministrazione pubblica

• Organizzazioni importanti

  • Servizi postali e corrieri espresso
  • Chimico
  • Alimentare
  • Manifatturiero
  • Digital Provider (piattaforme di social networking, motori di ricerca, marketplace online)
  • Servizi postali e corrieri espresso
  • Gestione dei rifiuti
  • Organizzazioni di ricerca

3. I cambiamenti chiave, dalla NIS alla NIS2

L'articolo 21 del NIS2 obbliga gli Stati membri a garantire che le entità essenziali e importanti gestiscano il rischio implementando sistemi, policy e best practice efficaci che coprano un'ampia gamma di misure e discipline di cybersecurity, tra cui:

• Analisi dei rischi e sicurezza dei sistemi informatici;
• Gestione e reportistica degli incidenti;
• Continuità operativa, come la gestione dei backup e il ripristino di emergenza;
• Gestione delle crisi;
• Sicurezza della supply chain;
• Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi;
• Pratiche di base per la cyber-igiene (vedere la definizione riportata di seguito) e formazione sulla cybersecurity;
• Tecnologie di crittografia e cifratura;
• Sicurezza delle risorse umane, policy di controllo degli accessi e gestione delle risorse;
• Accesso Zero Trust (autenticazione multifattore, autenticazione continua).

4. Gestione e reportistica degli incidenti

La direttiva NIS2 impone ad ogni entità critica, obblighi di notifica per gli incidenti che hanno un "impatto significativo" sulla fornitura dei loro servizi. Queste notifiche devono essere effettuate presso l'autorità competente o il CSIRT (Computer Security Incident Response Team) pertinente.

Obblighi di notifica multi-livello:

Early Warning

Entro 24 ore dal momento in cui si viene a conoscenza dell'incidente. Sarà necessario indicare se si sospetta che l'incidente significativo sia causato da atti illeciti o dolosi, o possa avere un impatto transfrontaliero.

Official Incident Notification

Entro 72 ore dall'inizio dell'incidente Aggiornamento delle informazioni precedentemente fornite, indicando una valutazione iniziale dell'incidente significativo, compresi la gravità e l'impatto, nonché, se disponibili, gli indicatori di compromissione.

Intermediate Status Report

Su richiesta del CSIRT o dell'autorità competente pertinente.

Final Report

Entro un mese dall'inizio dell'incidente. Se l'incidente è in corso al momento della relazione finale, verrà presentata una relazione di avanzamento e la relazione finale sarà fornita un mese dopo. Redazione di una relazione finale che comprende:

• descrizione dettagliata dell'incidente, compresi la gravità e l'impatto;
• il tipo di minaccia o la causa principale che probabilmente ha scatenato l'incidente;
• le misure di mitigazione applicate e in corso;
• nel caso, l'impatto transfrontaliero dell'incidente.

5. Gestione e reportistica degli incidenti con i servizi MDR Certego

I servizi gestiti di sicurezza informatica erogati da Certego si basano su un modello adattivo che, partendo dalle attività di Prevenzione, è in grado di gestire ogni fase di un incidente informatico.

PanOptikon® Cybersecurity Platform

La piattaforma di cybersecurity PanOptikon® è la soluzione SaaS che consente al Team di Detection & Response di semplificare i processi di rilevamento e risposta agli attacchi e migliorare l’interazione tra Certego e il cliente.

Detection & Response Team

Il Team di Detection and Response include analisti, incident responders e investigatori forensi per identificare, analizzare e rispondere alle minacce informatiche. Fornisce un supporto tempestivo con raccomandazioni per il contenimento, l'eradicazione, il ripristino e la resilienza 24/7/365.

Threat Intelligence

Un Team dedicato in grado di garantire informazioni in tempo reale sulle potenziali minacce, fornendo un dettaglio sulle motivazioni e le tattiche utilizzate dagli attaccanti. Attraverso l’analisi delle TTP (Tactics, Techniques, Procedures) utilizzate dagli attaccanti, la piattaforma di intelligence sulle minacce di Certego fornisce al cliente dati aggiornati sulle più moderne minacce alla sicurezza informatica.

6. Whitepaper

Scopri come i servizi gestiti di Incident Response di Certego ti permettono, di essere conforme agli obblighi di Gestione e reportistica degli incidenti introdotti dal NIS2.

Il Whitepaper mostra un esempio pratico di come i servizi gestiti di Incident Response di Certego ti permettono di essere conforme agli obblighi di notifica multi-livello richiesti dalla normativa NIS2, in ogni fase di un attacco.