Direttiva NIS2: da Axitea le linee guida per una sicurezza informatica avanzata
-
- Tweet
- Pin It
- Condividi per email
-
![hacker cybersecurity](https://automazione-plus.it/wp-content/uploads/sites/3/2023/03/hacker-attacchi-informatici-300x200.jpeg)
Nel gennaio 2023, gli Stati membri dell’Unione Europea hanno ufficialmente introdotto una revisione della Direttiva sulla sicurezza delle reti e dei sistemi informatici (Network and Information Systems – NIS) del 2016. Questa nuova versione, denominata Direttiva NIS2, è stata ideata in risposta a cyber attacchi diffusi e dannosi, al fine di potenziare i requisiti di sicurezza, semplificare gli obblighi di reporting e implementare misure di supervisione più stringenti con requisiti di applicazione più rigorosi.
L’obiettivo principale della Direttiva NIS2 è rafforzare le difese delle entità critiche contro vulnerabilità nella supply chain, attacchi ransomware e altre minacce informatiche. Questa direttiva si applica a due categorie di soggetti, definiti “essenziali” e “importanti”, che operano in settori vitali come energia, trasporti, sanità, settore bancario e mercati finanziari, fornendo servizi altrettanto cruciali. A differenza della NIS 2016, i requisiti di cybersicurezza della NIS2 si estendono non solo alle organizzazioni “critiche” e ai loro dipendenti diretti, ma anche a subappaltatori e fornitori di servizi.
L’articolo 21 del NIS2 obbliga gli Stati membri a garantire che le entità essenziali e importanti gestiscano il rischio implementando sistemi, policy e best practice efficaci che coprano un’ampia gamma di misure e discipline di cybersecurity. Tutti e 27 gli Stati membri dell’UE sono chiamati a ratificare la Direttiva NIS2 entro il 17 ottobre 2024. In caso di violazione, gli Stati membri possono imporre multe fino a 10 milioni di euro o corrispondenti al 2% del fatturato annuo e ritenere i vertici delle organizzazioni inadempienti personalmente responsabili.
Ecco, quindi, come le imprese possono prepararsi alla Direttiva NIS2 e costruire un framework di azione conforme alle normative:
- Identificare, valutare e affrontare i rischi. Gli organi che gestiscono le entità definite “essenziali” e “importanti” dalla direttiva devono innanzitutto assicurarsi di implementare misure tecniche, operative e organizzative adeguate e trasversali all’interno dell’organizzazione per gestire i rischi alla sicurezza di sistemi informatici, reti e ambiente fisico.
- Valutare la sicurezza. Il secondo passo cruciale è individuare punti deboli come password non gestite, account configurati erroneamente o inattivi, suscettibili di furto di credenziali.
- Proteggere gli accessi privilegiati. La Direttiva NIS2 consiglia di limitare l’accesso agli account amministrativi, ruotare regolarmente le password e adottare misure per proteggere gli accessi privilegiati, poiché questi possono essere sfruttati dagli attaccanti per introdursi nei sistemi e interrompere l’operatività di infrastrutture critiche.
- Rafforzare le difese antiransomware. Implementare soluzioni di sicurezza e best practice per difendersi proattivamente contro il ransomware, utilizzando soluzioni di sicurezza dei privilegi sugli endpoint per applicare il principio del privilegio minimo, controllando le applicazioni e potenziando le soluzioni antivirus di ultima generazione (NGAV) e di rilevamento e risposta sugli endpoint (EDR).
- Adottare dell’architettura Zero Trust. Le tradizionali architetture di sicurezza, orientate al perimetro di rete e progettate per proteggere i confini di una rete aziendale affidabile, risultano inadeguate in un contesto che prevede ampio utilizzo di servizi cloud e forza lavoro ibrida. L’approccio Zero Trust consente di implementare diversi strati difensivi come l’accesso con privilegio minimo, l’autenticazione continua e l’analisi delle minacce per verificare ogni tentativo di accesso.
- Monitorare la supply chain del software. Gli attacchi alla supply chain sono una delle principali preoccupazioni degli organi di regolamentazione dell’UE e una delle principali motivazioni alla base della Direttiva NIS2. È necessario dunque esaminare attentamente la supply chain del software e considerare l’implementazione di una soluzione di gestione dei segreti per mitigare i rischi.
- Pianificare la risposta agli incidenti. La Direttiva NIS2 richiede una reportistica più rapida in caso di incidente, in grado di fornire un background sull’evento e possibili azioni entro 24 ore. Le imprese, quindi, devono essere sufficientemente preparate, con processi di notifica degli eventi, raccolta di informazioni e reportistica adeguati.
- Formazione del personale. Come sempre, il primo passo per impedire un incidente cyber è quello di rendere più consapevoli gli operatori all’interno di un’organizzazione. In questi mesi fino all’implementazione della direttiva le imprese possono incrementare gli sforzi nella formazione sulla cybersecurity e nella promozione della cyber-igiene per migliorare la consapevolezza del personale e instillare una cultura orientata alla sicurezza.
Al fine di essere adeguatamente preparate alle implementazioni della NIS2, ma anche a futuri interventi normativi, è importante che le imprese adottino soluzioni cyber e strategie personalizzate per le proprie dimensioni e il proprio raggio di attività, sia attraverso risorse interne che, in caso di lacune, affidandosi ad un servizio gestito esternamente.
Contenuti correlati
-
AI in simulazione e HPC con Altair al Farnborough Airshow 2024
Altair porta in mostra le ultime innovazioni nel campo della simulazione ingegneristica, dell’intelligenza artificiale (AI) e del calcolo ad alte prestazioni (HPC) al Farnborough International Airshow 2024, in programma dal 22 al 26 luglio presso il Farnborough...
-
Giochi olimpici di Parigi 2024: il fattore sicurezza
Dopo la conclusione dei campionati europei di calcio ‘Euro 2024’, l’attenzione degli appassionati di sport è ora rivolta ai Giochi Olimpici di Parigi di quest’estate, uno dei più grandi palcoscenici del mondo che proprio per questo è...
-
Security Summit sbarca a Cagliari
L’innovazione digitale è certamente motore di sviluppo per il settore turistico alberghiero, così come può avere enormi potenzialità per le piccole e medie imprese del Made in Italy; imprescindibile è, tuttavia, la consapevolezza dei rischi cyber che...
-
Le connessioni IoT cellulari private nell’industria manifatturiera saranno 108 milioni nel 2030
I clienti dell’ Industrial IoT (IIoT) sono desiderosi di digitalizzare casi d’uso critici con reti dedicate ad alta potenza, rendendo questi settori leader nell’adozione privata del 4G e del 5G. Il report di ABI Research Secondo un nuovo...
-
Cybersecurity e trasparenza, Fortinet firma le linee guida Secure by Design della CISA
Fortinet ha rafforzato il proprio impegno di lunga data verso una trasparenza radicale e responsabile, essendo tra i primi firmatari delle linee guida Secure by Design sviluppate dalla Cybersecurity and Infrastructure Security Agency (CISA). Questo atto volontario...
-
Direttiva NIS2: uno studio Zscaler mette in evidenza criticità e opportunità
Una nuova ricerca di Zscaler suggerisce una discrepanza tra la fiducia che le aziende europee hanno di raggiungere l’obiettivo della conformità alla direttiva NIS 2 prima della scadenza del 17 ottobre 2024, quando entrerà in vigore, e...
-
Sicurezza e rischi nell’era digitale
Rischi e pericoli sulle macchine cambiano con l’evoluzione della tecnologia: il nuovo Regolamento Macchine adegua la normativa ai requisiti relativi ai sistemi con algoritmi evolutivi, digitalizzazione, robotica, software e cybersecurity Pubblicato in Gazzetta Ufficiale dell’Unione Europea il...
-
Reti 5G private per l’industria
Sicurezza, affidabilità, latenza ridotta e capacità di trasmissione garantita sono le caratteristiche più apprezzate delle reti private 5G, che hanno iniziato a dimostrare i loro vantaggi per supportare applicazioni innovative in campo industriale e nella logistica Le...
-
Extreme Labs: un hub per la ricerca, lo sviluppo e l’innovazione nel settore delle reti
Extreme Networks annuncia Extreme Labs: un ecosistema dinamico in cui creatività, collaborazione e tecnologie avanzate convergono per sostenere lo sviluppo di nuove soluzioni innovative, e un luogo privilegiato in cui l’azienda può presentare i prodotti più vicini alla...
-
Layer di collegamento tra produzione e management
Come si crea uno ‘strato software’ che faccia realmente convergere IT e OT? Efficienza, sicurezza e interoperabilità sono le 3 parole chiave A cosa ci riferiamo quando parliamo di Production & Management Integration Layer? È presto detto....
Scopri le novità scelte per te x
-
AI in simulazione e HPC con Altair al Farnborough Airshow 2024
Altair porta in mostra le ultime innovazioni nel campo della simulazione ingegneristica, dell’intelligenza artificiale (AI) e del...
-
Giochi olimpici di Parigi 2024: il fattore sicurezza
Dopo la conclusione dei campionati europei di calcio ‘Euro 2024’, l’attenzione degli appassionati di sport è ora...
Notizie Tutti ▶
-
Economia circolare, Siemens e Osai GreenTech al recupero dei metalli preziosi dai RAEE
Nell’economia lineare l’estrazione, la lavorazione e lo smaltimento dei metalli preziosi comportano un consumo...
-
1° ottobre, appuntamento con la II edizione dell’IO-Link Day
Sulla scia del successo della prima edizione, torna l’evento di Consorzio PI Italia dedicato...
-
Hewlett Packard e Danfoss insieme per ridurre il consumo energetico nei data center
Hewlett Packard Enterprise e Danfoss collaborano per la fornitura di HPE IT Sustainability Services...
Prodotti Tutti ▶
-
Sensori di corrente a rilevamento magnetico di Allegro per industria, automotive ed energie rinnovabili
Allegro MicroSystems ha sviluppato i sensori di corrente ad alta potenza ACS37220 e ACS37041,...
-
InnoTrans 2024: Moxa presenta le soluzioni di comunicazione ed elaborazione dati con protezione
Moxa, fornitore di soluzioni di comunicazione basate su IP, si presenterà a InnoTrans 2024...
-
Refrigeratori di acqua di processo ecologici di Parker a basso GWP
Parker Hannifin ha sviluppato Hyperchill Plus-E, un nuovo refrigeratore ecologico per processi industriali utilizzato...