Che cos'è la direttiva NIS2?
La Direttiva dell'Unione Europea sulla sicurezza delle reti e delle informazioni (NIS) è un atto legislativo che mira a raggiungere un elevato livello comune di sicurezza informatica per le organizzazioni in tutta l'Unione Europea. Inizialmente adottata nel 2016, la NIS si basava fortemente sulla discrezionalità dei singoli Stati membri e mancava di responsabilità.
Il 16 gennaio 2023, in risposta alle crescenti minacce poste dalla crescente digitalizzazione e dall'aumento degli attacchi informatici, l'UE ha adottato la NIS2 per rafforzare i requisiti di sicurezza e la resilienza informatica. I 27 Stati membri dell'UE hanno avuto tempo fino al 17 ottobre 2024 per la trasposizione della NIS2 nel diritto nazionale.
La NIS2 amplia la direttiva NIS originale per coprire un maggior numero di settori industriali, con ulteriori misure di gestione del rischio e obblighi di segnalazione degli incidenti. Inoltre, prevede un'applicazione più rigorosa. La direttiva NIS2 aggiunge alla NIS in 4 aree chiave:
- Ampliamento del campo di applicazione: la NIS2 estende la sua portata a un maggior numero di settori, passando da sette a diciotto. La NIS2 ha anche classificato i settori come essenziali o importanti, con diversi requisiti di supervisione.
- Requisiti di sicurezza più severi: la direttiva impone misure di sicurezza informatica più severe. Questi requisiti comprendono pratiche di gestione del rischio, misure tecniche e organizzative, piani di risposta e ripristino in caso di incidente, formazione dei dipendenti e aggiornamenti e patch frequenti.
- Segnalazione obbligatoria degli incidenti con tempistiche specifiche: la NIS2 richiede alle organizzazioni di segnalare gli incidenti significativi di sicurezza informatica, ovvero quelli che possono influire negativamente sulla fornitura dei servizi dell'organizzazione. Le organizzazioni devono fornire una segnalazione di "allerta precoce", utilizzando un formato standardizzato e una tempistica ridotta di 24 ore, seguito da una notifica entro 72 ore da quando viene a conoscenza dell'incidente e da un rapporto finale entro 30 giorni.
- Applicazione tramite sanzioni: la direttiva NIS2 impone sanzioni più severe in caso di non conformità, tra cui un aumento delle sanzioni finanziarie.
La direttiva NIS2 ha ampliato il campo di applicazione da 7 a 18 settori. La versione precedente della NIS identificava come settori essenziali la sanità, i trasporti, le infrastrutture digitali, l'approvvigionamento idrico, le banche, le infrastrutture dei mercati finanziari e l'energia. La NIS2 aggiunge alla categoria dei settori "essenziali" i fornitori di servizi digitali, la gestione dei rifiuti, il settore farmaceutico e i laboratori, lo spazio e la pubblica amministrazione. La NIS2 aggiunge anche una categoria dei settori "importanti", che comprende i fornitori di comunicazioni pubbliche, i prodotti chimici, i produttori e i distributori di alimenti, i produttori di dispositivi critici, i social network e i marketplace online e i servizi di corriere.
Le entità essenziali devono rispettare i requisiti di vigilanza, mentre le entità importanti saranno soggette solo alla vigilanza ex-post. Per vigilanza ex-post si intende che l'azione di supervisione sarà intrapresa solo se le autorità ricevono prove di non conformità.
L'articolo 21 della NIS2 recita: "Gli Stati membri provvedono affinché i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza delle reti e dei sistemi informativi che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi e per prevenire o ridurre al minimo l'impatto degli incidenti sui destinatari dei loro servizi e su altri servizi." L'obiettivo dell'articolo 21 è quello di proteggere i sistemi di rete e informativi e l'ambiente fisico di tali sistemi da incidenti e comprende almeno quanto segue:
(a) politiche di analisi del rischio e sicurezza dei sistemi informativi;
(b) gestione degli incidenti;
(c) continuità aziendale, come la gestione dei backup, il ripristino di emergenza e la gestione delle crisi;
(d) la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza delle relazioni tra ciascun ente e i suoi fornitori diretti o prestatori di servizi;
(e) sicurezza nell'acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità;
(f) politiche e procedure per valutare l'efficacia delle misure di gestione del rischio di sicurezza informatica;
(g) pratiche di igiene informatica di base e formazione in materia di sicurezza informatica;
(h) politiche e procedure relative all'uso della crittografia e, ove opportuno, della codifica;
(i) sicurezza delle risorse umane, politiche di controllo degli accessi e gestione degli asset;
(j) l'uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e di testo protette e di sistemi di comunicazione di emergenza protetti all'interno dell'ente, ove opportuno.
L'articolo 23 della NIS2 richiede che venga segnalato ogni incidente significativo di sicurezza informatica "...che abbia un impatto significativo sulla fornitura dei propri servizi...", a prescindere dal fatto che l'attacco abbia effettivamente influito sulle operazioni dell'entità. Il cambiamento più significativo in materia di segnalazione degli incidenti è il modo in cui la direttiva NIS2 dettaglia il processo obbligatorio di segnalazione degli incidenti in più fasi e i contenuti che devono essere inclusi.
Allarme precoce:
Entro 24 ore. Una segnalazione iniziale deve essere presentata all'autorità competente o al CSIRT nazionale competente entro 24 ore da un incidente di sicurezza informatica. La relazione iniziale dovrebbe fornire un allarme tempestivo in caso di impatto transfrontaliero o di dolo. Questa prima notifica ha lo scopo di limitare la potenziale diffusione di una minaccia informatica.
Notifica di follow-up dell'incidente:
Entro 72 ore. Un rapporto di notifica più dettagliato deve essere comunicato entro 72 ore. Dovrebbe contenere una valutazione dell'incidente, compresi la gravità, l'impatto e gli indicatori di compromissione. L'entità colpita deve inoltre segnalare l'incidente alle autorità di polizia se si tratta di un reato.
Rapporto finale: Entro un mese.
Il rapporto finale deve essere presentato entro un mese dalla notifica iniziale o dalla prima segnalazione. Il rapporto finale deve includere:
- Una descrizione dettagliata dell'incidente.
- La gravità e le conseguenze.
- Il tipo di minaccia o di causa che probabilmente ha portato all'incidente.
- Tutte le misure di mitigazione applicate e in corso.
Inoltre, ai sensi della direttiva NIS2, le entità devono segnalare qualsiasi minaccia informatica di rilievo che identificano e che potrebbe sfociare in un incidente significativo. Una minaccia è considerata significativa se provoca:
- Interruzione dell'operatività o perdite finanziarie rilevanti per l'entità interessata.
- Può colpire persone fisiche o giuridiche causando danni materiali o immateriali significativi.
La mancata conformità alla direttiva NIS2 comporta sanzioni più severe rispetto alla NIS. Ai sensi della direttiva NIS2, le sanzioni in caso di non conformità sono diverse per le entità essenziali e per quelle importanti.
- Per le entità essenziali, le sanzioni amministrative possono arrivare fino a 10.000.000 di euro o ad almeno il 2% del fatturato totale annuo mondiale dell'anno fiscale precedente della società a cui appartiene l'entità essenziale, a seconda dell'importo più alto.
- Per le entità importanti, le sanzioni amministrative possono arrivare fino a 7.000.000 di euro o almeno all'1,4% del fatturato totale annuo mondiale dell'anno fiscale precedente della società a cui appartiene l'entità importante, a seconda dell'importo più alto.
White paper
Direttiva sulla sicurezza delle reti e delle informazioni 2 (NIS2)
Scopri come le organizzazioni si conformano alla direttiva NIS2 grazie alle nostre soluzioni complete di sicurezza informatica e approfondisci i requisiti della direttiva NIS2.
Come Thales contribuisce alla conformità alla direttiva NIS2
Thales e Imperva, una società di Thales, offrono un ampio portafoglio di prodotti complementari per la sicurezza delle applicazioni, la sicurezza dei dati e la gestione delle identità e degli accessi, per fornire una soluzione completa che contribuisce a soddisfare i requisiti della direttiva NIS2. Possiamo contribuire alla conformità da parte delle entità essenziali e importanti alla direttiva NIS2 affrontando i requisiti essenziali di gestione del rischio di sicurezza informatica ai sensi dell'articolo 21 e aiutando le organizzazioni a produrre rapporti completi, accurati e tempestivi per soddisfare i requisiti dell'articolo 23.
Soluzioni di conformità NIS2
Sicurezza delle applicazioni
Proteggi applicazioni e API su larga scala nel cloud, on-premise o in un modello ibrido. La nostra suite di prodotti leader di mercato comprende firewall per applicazioni web (WAF), protezione contro attacchi Distributed Denial of Service (DDoS) e BOT dannosi, sicurezza per API, una rete di distribuzione dei contenuti (CDN) sicura e l'autoprotezione dell'applicazione durante l'esecuzione (RASP).
Data Security
Scopri e classifica i dati sensibili in un ambiente informatico ibrido e proteggili automaticamente ovunque, che siano inattivi, in movimento o in uso, utilizzando la tokenizzazione criptata e la gestione delle chiavi. Le soluzioni di Thales identificano, valutano e stabiliscono le priorità dei potenziali rischi per una loro valutazione accurata, oltre a individuare comportamenti anomali e monitorare le attività per verificarne la conformità. In tal modo, le organizzazioni possono stabilire dove concentrare principalmente i propri sforzi.
Gestione delle identità e degli accessi
Un accesso fluido, sicuro e affidabile alle applicazioni e ai servizi digitali per clienti, dipendenti e partner. Le nostre soluzioni limitano l'accesso degli utenti interni ed esterni in base al loro ruolo e contesto con criteri di accesso granulari, autenticazione a più fattori e dispositivi hardware PKI/FIDO resistenti al phishing che aiutano a garantire che all'utente giusto sia concesso l'accesso alla risorsa giusta al momento giusto.
Rispondere ai requisiti chiave della direttiva NIS2
Come Thales contribuisce:
- Scopre e classifica i potenziali rischi per tutte le API pubbliche, private e shadow.
- Identifica i dati sensibili strutturati e non strutturati a rischio, on-premise e sul cloud.
- Identifica lo stato attuale della conformità, documentando le lacune e fornendo un percorso verso la piena conformità.
Come Thales contribuisce:
- Velocizza la gestione degli incidenti aprendo e aggiornando automaticamente i ticket di ServiceNow.
Come Thales contribuisce:
- Mitiga gli attacchi DDoS in soli tre secondi.
- Implementa misure preventive per prevedere ed evitare situazioni di crisi.
Come Thales contribuisce:
- Riduce i rischi di terze parti mantenendo il controllo on-premise sulle chiavi di crittografia che proteggono i dati ospitati sul cloud.
- Assicura la completa separazione dei ruoli tra gli amministratori del provider cloud e l'organizzazione, limitando l'accesso ai dati sensibili.
- Monitora e segnala anomalie per rilevare e impedire che attività indesiderate interrompano le attività della catena di fornitura.
- Abilita la gestione delle relazioni con fornitori, partner o qualsiasi utente terzo, con una chiara delega dei diritti di accesso.
- Riduce al minimo i privilegi utilizzando un'autorizzazione dettagliata basata sulle relazioni.
Soluzioni:
Sicurezza dei dati
Gestione delle chiavi sul cloud
Monitoraggio dell'attività dei dati
Gestione dei diritti degli utenti
Gestione delle identità e degli accessi
Controllo dell'accesso di terze parti
Come Thales contribuisce:
- Rileva e previene le minacce informatiche con il firewall per applicazioni web, garantendo operazioni senza interruzioni di continuità e la totale tranquillità.
- Protegge le risorse di rete critiche dagli attacchi DDoS e dai Bad Bot, continuando a consentire il traffico legittimo.
- La sicurezza incentrata sui dati, a prescindere, significa che semplici sensori possono garantire la sicurezza e la conformità nel più ampio ambiente di dati.
Come Thales contribuisce:
- Ti fa ottenere la visibilità completa delle attività sui dati sensibili, monitora gli utenti che ne hanno accesso, esegue audit su ciò che fanno e documenta.
Come Thales contribuisce:
- Codifica i dati inattivi on-premise, sui cloud e negli ambienti big data o container.
- Pseudonimizza le informazioni sensibili nei database.
- Semplifica la gestione delle chiavi in ambienti cloud e on-premise.
- Protegge le chiavi crittografiche in un ambiente FIPS 140-2 di livello 3.
- Protegge i dati in movimento con crittografia high-speed.
Soluzioni:
Sicurezza dei dati
Come Thales contribuisce:
- Limita l'accesso degli utenti interni ed esterni ai sistemi e ai dati in base ai ruoli e al contesto tramite le politiche.
- Applica misure di sicurezza contestuali basate sul punteggio di rischio.
- Previene l'affaticamento da password con Smart Single Sign-On ad accesso condizionato.
- Crea un accesso senza attriti, sicuro e protetto dalla privacy per i tuoi clienti.
Soluzioni:
Gestione delle identità e degli accessi
Gestione dell'accesso del personale
Gestione dell'identità e dell'accesso dei clienti (CIAM)
Sicurezza dei dati
Come Thales contribuisce:
- Abilita l'autenticazione a più fattori (MFA) con la più ampia gamma di metodi e fattori di forma hardware e software.
- Crea e distribuisce criteri di autenticazione adattivi basati sulla sensibilità dei dati / dell'applicazione.
- Ti protegge dal phishing e dagli attacchi man-in-the-middle con gli autenticatori hardware PKI e FIDO.
Come Thales contribuisce:
- I documenti conservati per un anno sono immediatamente accessibili per ricerche e indagini dettagliate. I dati di audit vengono archiviati automaticamente, ma rimangono accessibili in pochi secondi per le domande e le segnalazioni.
