Cos’è la Direttiva NIS2: una panoramica pratica per le organizzazioni

La Direttiva NIS2 è il quadro aggiornato di cybersecurity dell’Unione Europea, progettato per migliorare la resilienza informatica in settori critici. Partendo dalla precedente direttiva sui sistemi di rete e informativi (NIS), la Direttiva NIS2 ne amplia notevolmente l’ambito di applicazione per includere settori quali la sanità, l’industria manifatturiera, l’energia, i trasporti e i servizi gestiti. Il NIS2 introduce inoltre requisiti più severi di cybersecurity, responsabilità diretta per i dirigenti senior e tempistiche definite per la segnalazione degli incidenti. Le organizzazioni che operano all’interno dell’UE non devono solo comprendere questi obblighi, ma anche attuare misure di sicurezza concrete per soddisfare i requisiti di conformità.

Punti chiave

• Il NIS2 è il quadro normativo aggiornato dell’UE in materia di sicurezza informatica, che introduce requisiti più rigorosi, una copertura settoriale più ampia e una maggiore responsabilità dei dirigenti delle organizzazioni che operano nell’UE.
• NIS2 ha sostituito la versione originale di NIS perché il framework iniziale non era in grado di tenere il passo con i moderni ransomware, gli attacchi alla catena di approvvigionamento e le minacce informatiche avanzate che prendono di mira le infrastrutture critiche.
• Il NIS2 si applica principalmente a organizzazioni medie e grandi che operano nei settori coperti; tuttavia, alcune entità devono conformarsi indipendentemente dalla loro dimensione a causa della natura critica dei loro servizi.
• L’articolo 21 delinea le sette misure di sicurezza fondamentali che le organizzazioni devono implementare, che vanno dalla gestione del rischio alla risposta agli incidenti e alla sicurezza della catena di approvvigionamento.
• Le lacune comuni di conformità NIS2 includono un’applicazione incoerente dell’MFA, scarsa visibilità dei fornitori e una debole gestione degli accessi privilegiati (PAM).
• Le conseguenze della mancata conformità possono includere multe fino a 10.000.000 € o il 2% del fatturato globale annuo (quale dei due importi sia maggiore) per le entità essenziali, oltre a obblighi di segnalazione entro 24 ore, 72 ore e un mese da un incidente significativo.

Perché NIS2 ha sostituito la direttiva NIS originale

La direttiva NIS originale riguardava principalmente le infrastrutture critiche tradizionali e si concentrava sulla sicurezza perimetrale. Mancava di obblighi chiari di rendicontazione ed era attuata in modo incoerente tra gli Stati membri dell’UE, limitandone l’efficacia. Il NIS2 amplia la copertura nei settori definiti negli Annessi I e II, introduce tempistiche di segnalazione degli incidenti più rigide e attribuisce maggiore responsabilità alla direzione esecutiva, inclusa la responsabilità personale nelle attuazioni nazionali di alcuni Stati membri. Questo cambiamento segna il passaggio da requisiti minimi di sicurezza a un approccio più proattivo alla resilienza informatica.

Chi è tenuto a rispettare il NIS2?

Il NIS2 classifica le organizzazioni in due gruppi principali: entità essenziali ed entità importanti. Entrambi devono rispettare gli obblighi di sicurezza informatica e segnalazione di NIS2, anche se le entità essenziali devono affrontare una supervisione più esigente e sanzioni potenzialmente più severe.

In generale, il NIS2 si applica alle organizzazioni di medie e grandi dimensioni che operano nei settori coperti. Secondo la definizione dell’UE, le imprese di medie dimensioni sono quelle con 50 o più dipendenti e un fatturato annuo superiore a 10.000.000 €; entrambi i criteri sono considerati insieme, non come alternative. I settori coperti da NIS2 spaziano in diversi ambiti industriali, tra cui sanità, manifattura, servizi finanziari, energia, trasporti, acqua, infrastrutture digitali, spazio e gestione dei rifiuti.

La dimensione di un’organizzazione non determina l’ambito di competenza del NIS2. Alcune entità rientrano nel campo di applicazione se i loro servizi sono considerati fondamentali per la stabilità sociale o economica. Per le organizzazioni che operano in più stati membri dell’UE, il NIS2 si applica a livello nazionale, quindi i requisiti di conformità possono variare a seconda di come ciascun paese ha trasposto il NIS2 nella normativa nazionale.

7 misure di sicurezza necessarie alle organizzazioni per conformarsi alla Direttiva NIS2

L’articolo 21 del NIS2 stabilisce le misure di sicurezza informatica che le organizzazioni dovrebbero attuare. Le misure di sicurezza rispecchiano in linea di massima come dovrebbe essere un programma di sicurezza ben gestito, ma molte organizzazioni hanno difficoltà a metterle in pratica a causa del gergo giuridico piuttosto complesso della direttiva. Ecco le sette aree principali affrontate dal framework.

1. Gestione del rischio

Secondo il NIS2, le organizzazioni devono istituire un processo di gestione del rischio continuo invece di affidarsi a valutazioni una tantum. Le organizzazioni devono identificare costantemente le proprie vulnerabilità di sicurezza, valutare i potenziali danni che tali rischi potrebbero causare e affrontarli regolarmente. Ciò significa condurre frequenti valutazioni dei rischi, mantenere piani di mitigazione documentati e monitorare continuamente le attività per individuare nuove minacce. In definitiva, all’interno di un’organizzazione qualcuno deve essere ritenuto responsabile di ogni rischio individuato e incaricato di mitigarlo.

2. Capacità di risposta agli incidenti

Il NIS2 richiede alle organizzazioni di mantenere procedure formali di risposta agli incidenti prima che si verifichi un incidente di sicurezza, al fine di prevenire il caos che ne consegue. Questo significa avere un piano di risposta agli incidenti ben documentato, con responsabilità ben definite, ed eliminare ogni ambiguità su chi debba svolgere determinati compiti. Altrettanto importante quanto creare piani chiari è testarli. Ad esempio, se il ransomware viene rilevato in una parte della rete di un’organizzazione nel cuore della notte, la differenza tra contenere l’incidente e subire un blackout grave può dipendere dal fatto che il team abbia provato il processo.

3. Continuità del business

Il NIS2 si aspetta che le organizzazioni mantengano la resilienza durante e dopo incidenti informatici, coprendo i processi di backup e recupero, l’archiviazione dei dati accessibile in caso di compromissione del sistema e la capacità di ripristinare i sistemi entro tempi definiti. La pianificazione del disaster recovery dovrebbe definire chiari obiettivi di tempo di recupero, affrontando per quanto tempo un’organizzazione può realisticamente permettersi di subire un’interruzione operativa. Test regolari di resilienza garantiscono che questi piani funzionino nella pratica e, laddove opportuno dal punto di vista operativo, la ridondanza nei sistemi e nelle infrastrutture critiche aggiunge un ulteriore livello di protezione. Al centro della continuità del business c’è la necessità di proteggere le credenziali e gli accessi collegati ai sistemi critici, perché il recupero diventa molto più difficile quando le chiavi dell’infrastruttura sono tra gli asset compromessi.

4. Sicurezza della catena di approvvigionamento

Il NIS2 pone una significativa enfasi sulla gestione del rischio di terze parti. Il NIS2 chiarisce che le organizzazioni sono responsabili della gestione dei rischi introdotti da rivenditori, fornitori di servizi e fornitori. Con la visibilità come priorità assoluta, le organizzazioni devono sapere quali terze parti hanno accesso ai sistemi, quale livello di accesso detengono e se i fornitori mantengono controlli di sicurezza adeguati. Le valutazioni dei rischi dei fornitori, le revisioni degli accessi e il monitoraggio continuo dovrebbero diventare processi operativi standard. Gli attacchi moderni alla catena di approvvigionamento hanno dimostrato che l’esposizione a fornitori terzi può trasformarsi rapidamente in un grave rischio per l’organizzazione.

5. Controllo degli accessi e gestione delle identità

Le organizzazioni devono essere in grado di controllare chi ha accesso ai loro sistemi e cosa possono fare con tali accessi, per ridurre la superficie di attacco. Tra i requisiti fondamentali del NIS2, il principio del privilegio minimo (PoLP) dovrebbe guidare le modalità di concessione degli accessi, in modo che utenti e sistemi abbiano accesso solo a ciò che è strettamente necessario. Il controllo degli accessi basato sui ruoli (RBAC) fornisce la struttura per far rispettare questo in modo coerente e su larga scala, e la gestione del ciclo di vita dell’utente aiuta ad affrontare account dormienti o orfani che in futuro potrebbero diventare vulnerabilità di sicurezza sfruttabili. Questo è particolarmente importante per gli account privilegiati, in particolare perché amministratori e account di servizio con accesso privilegiato sono obiettivi preziosi. Il PAM, combinato con una solida sicurezza delle credenziali in tutta l’organizzazione, aiuta a garantire che questi account siano protetti, monitorati e auditati.

6. Cifratura e crittografia

Anche le organizzazioni meglio preparate possono subire una violazione dei dati, e la crittografia è fondamentale per determinare l’entità del danno effettivamente causato da tale violazione. La Direttiva NIS2 prevede che le organizzazioni crittografino i dati sia a riposo che in transito, proteggano le credenziali e le informazioni sensibili e utilizzino standard crittografici sicuri. Sebbene il NIS2 non prescriva un’architettura di crittografia specifica, la cifratura zero-knowledge va oltre i requisiti di base e può fornire una protezione aggiuntiva significativa per le organizzazioni che gestiscono credenziali e dati sensibili. In un ambiente zero-knowledge, i dati vengono crittografati e decrittografati a livello di dispositivo, il che significa che nemmeno il fornitore dei servizi può accedervi.

7. MFA e autenticazione sicura

Poiché le credenziali compromesse sono uno dei punti di ingresso più comuni per i cybercriminali, il NIS2 richiede alle organizzazioni di implementare controlli di autenticazione robusti su sistemi e utenti. Ciò include l’applicazione dell’autenticazione a più fattori (MFA), aggiungendo un ulteriore livello di verifica che limita l’impatto delle credenziali rubate. Ove possibile, le organizzazioni dovrebbero abilitare metodi di autenticazione senza password resistenti al phishing per eliminare il rischio che gli utenti vengano manipolati nel condividere le credenziali o nell’approvare le richieste. Questi controlli rendono molto più difficile per i cybercriminali ottenere accessi non autorizzati e riducono significativamente l’impatto delle credenziali compromesse.

Le organizzazioni che cercano passi pratici possono esplorare la nostra guida su come prepararsi efficacemente per il NIS2.

Le principali lacune nella conformità alla normativa NIS2 che le organizzazioni devono affrontare

La maggior parte delle organizzazioni dispone già di alcuni controlli di sicurezza, ma le debolezze operative spesso impediscono la piena conformità, soprattutto alla Direttiva NIS2. Sia la mancata comprensione della direttiva sia la mancata attuazione dei suoi requisiti possono comportare conseguenze per le organizzazioni.

Applicazione incompleta dell’autenticazione a due fattori (MFA)

Molte organizzazioni implementano l’autenticazione a più fattori (MFA) in modo non uniforme. Anche se gli account utente sono protetti, potrebbero comunque esserci delle lacune nei sistemi legacy o nell’accesso tramite VPN che si basano ancora esclusivamente sulle password tradizionali. La copertura parziale dell’MFA crea punti di ingresso sfruttabili per i cybercriminali e mina gli sforzi di sicurezza più ampi attraverso accessi privilegiati o remoti non protetti.

Scarsa visibilità dei fornitori

I requisiti della catena di approvvigionamento del NIS2 rivelano una triste verità per molte organizzazioni: non hanno una chiara comprensione di chi abbia accesso ai loro ambienti o quali rischi le terze parti introducono. L’accesso dei fornitori è spesso sovradimensionato ma raramente verificato. Senza piena visibilità, le organizzazioni non possono gestire efficacemente i rischi di terze parti ai sensi del NIS2.

Controlli degli accessi con privilegi deboli

Gli account privilegiati sono tra gli asset a più alto rischio in qualsiasi organizzazione, ma i controlli su di essi sono spesso molto deboli. Le credenziali amministrative condivise e i privilegi permanenti sono ancora molto diffusi, ma aumentano la superficie di attacco e il rischio di uso improprio delle credenziali. La Direttiva NIS2 prevede una governance più rigorosa in materia di accesso privilegiato, monitoraggio delle sessioni e attività di audit.

Tempistiche di segnalazione degli incidenti NIS2

NIS2 introduce obblighi di segnalazione strutturati a seguito di incidenti significativi di sicurezza informatica. Le organizzazioni sono tenute a seguire una procedura prestabilita e articolata in più fasi, dal momento in cui vengono a conoscenza di un incidente significativo:

1. Entro 24 ore: inviare un avviso tempestivo alle autorità nazionali competenti confermando che è in corso un incidente significativo.
2. Entro 72 ore: fornire un quadro più completo dell’incidente, coprendo ciò che si sa sulla sua natura e impatto.
3. Entro un mese: presentare un rapporto finale, fornendo un resoconto completo di quanto accaduto, come è stato gestito e quali misure verranno adottate per prevenire una ricomparsa.

Per rispettare queste scadenze, le organizzazioni devono monitorare e registrare gli incidenti di sicurezza man mano che si verificano piuttosto che faticare a sviluppare una cronologia accurata degli eventi a posteriori. In definitiva, la conformità NIS2 richiede alle organizzazioni di stabilire pratiche mature di cybersecurity, migliorare la resilienza operativa e mantenere piena visibilità tra utenti e sistemi per ridurre i rischi di sicurezza.

In che modo Keeper aiuta a supportare la conformità NIS2

Il rispetto degli standard di conformità NIS2 richiede un’infrastruttura di sicurezza affidabile che possa applicare controlli di accesso dettagliati, proteggere le credenziali e fornire piena visibilità per gestire il rischio su larga scala. La piattaforma di sicurezza delle identità zero-knowledge di Keeper supporta le organizzazioni consolidando più soluzioni di sicurezza, inclusi PAM, gestione delle password, gestione dei segreti, gestione dei privilegi degli endpoint e accesso remoto sicuro. Per soddisfare alcuni dei requisiti più esigenti di NIS2, Keeper offre funzionalità avanzate come RBAC, applicazione dell’MFA, controllo delle credenziali, monitoraggio delle sessioni e sicurezza zero-trust. Che si stia appena iniziando ad affrontare le misure previste dalla Direttiva NIS2 o si voglia migliorare l’attuale livello di sicurezza, Keeper offre all’organizzazione la possibilità di soddisfare con sicurezza i requisiti della Direttiva NIS2.

Inizia oggi la tua prova gratuita di Keeper e rafforza la preparazione della tua organizzazione a soddisfare i requisiti NIS2