Preparazione all'esame NIS-2: 10 consigli pratici per aziende e organizzazioni

Nell’ottobre 2024 entrerà in vigore la cosiddetta Cybersecurity Implementation and Strengthening Act NIS 2, in breve NIS2UmsuCG. In questo Paese sono colpiti tra i 5.000 e i 6.000 operatori KRITIS e circa 30.000 altre strutture classificate come “importanti” o “di particolare importanza”. Ma come si preparano al meglio queste aziende e organizzazioni ai nuovi requisiti dei prossimi mesi? Questo articolo fornisce 10 importanti consigli pratici.

Coloro che sono interessati dal pagamento di 2 NIS devono fare questi preparativi ora

Secondo la Direttiva, le organizzazioni che rientrano nell’ambito di applicazione di NIS 2 “devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per mitigare i rischi per la sicurezza delle reti e dei sistemi informativi”. […] Controllare.” Essi sono inoltre obbligati a “mantenere l'impatto degli incidenti di sicurezza sui destinatari dei loro servizi” al livello più basso possibile o, nel migliore dei casi, a prevenirli completamente. In conformità con il desiderio dell'Unione Europea, la responsabilità di tutto questo spetta ai vertici aziendali e con le seguenti raccomandazioni Per il lavoro, le persone interessate sono ben preparate all'entrata in vigore della direttiva.

1. Controlla se sei interessato o meno

Innanzitutto è ovviamente importante che le organizzazioni verifichino se sono interessate da NIS-2, direttamente o indirettamente. Se è così, dovrebbero essere implementati i suggerimenti da 2 a 10.

2. Determinare la modalità corrente

Inizialmente è necessario eseguire un’analisi completa della sicurezza per determinare l’attuale livello di sicurezza dei sistemi IT. Questa analisi dovrebbe coprire tutti gli aspetti rilevanti come le politiche di sicurezza, la configurazione della rete, l'efficacia del software di sicurezza, gli aggiornamenti software, la risposta agli incidenti e i processi di ripristino di emergenza e la formazione dei dipendenti per rilevare tutte le potenziali vulnerabilità.

3. Implementare un'adeguata gestione del rischio

Le organizzazioni che rientrano nell'ambito di NIS-2 devono continuare a implementare un approccio proattivo alla gestione del rischio IT identificando, valutando e adottando contromisure adeguate contro potenziali minacce. L’obiettivo è prevenire o ridurre al minimo i danni causati da violazioni della sicurezza. Una misura centrale in questo senso è l’introduzione di una gestione globale del rischio, che comprenda misure tecniche, operative e organizzative.

4. Affrontare le debolezze su base continuativa

Anche la gestione continua delle vulnerabilità è essenziale per conformarsi ai requisiti della Direttiva NIS 2. Strumenti importanti in questo contesto sono controlli di sicurezza regolari e test di penetrazione. Aiutano a identificare e correggere le vulnerabilità e dovrebbero essere integrati da soluzioni automatizzate per gestire le vulnerabilità in modo efficiente.

5. Aggiorna la sicurezza dell'endpoint

Per proteggersi dal ransomware e da altre minacce informatiche, le aziende colpite devono anche utilizzare soluzioni di protezione degli endpoint più avanzate. È particolarmente consigliato per i sistemi che rilevano automaticamente gli attacchi.

6. Proteggi gli account utente

Anche una gestione efficace degli accessi (IAM), in particolare la protezione degli account privilegiati attraverso modifiche regolari della password, è molto importante. Misure adeguate riducono il rischio che gli hacker abbiano accesso a sistemi e reti.

7. Introdurre il concetto di zero trust

Per prepararsi a NIS-2, le organizzazioni dovrebbero anche implementare un modello Zero Trust, se non lo hanno già fatto. Questo si basa sul principio “non fidarsi di nessuno” e prevede il controllo costante di tutti i flussi di dati per garantirne l’autenticità. In questo contesto è rilevante anche una strategia di difesa a più livelli (basata sul perimetro).

8. Sicurezza della catena di fornitura

La sicurezza della catena di approvvigionamento dovrebbe essere garantita rivedendo e adattando le misure di sicurezza e gli accordi con tutte le parti interessate. Dovrebbero essere stabiliti standard minimi di sicurezza e dovrebbero essere prese in considerazione le misure tecniche e non tecniche.

9. Formazione del personale

La formazione dei dipendenti sulla sicurezza IT è sempre stata fondamentale per aumentare la consapevolezza dei potenziali rischi e migliorare la capacità di rilevare e prevenire tempestivamente gli attacchi informatici. Tuttavia, nel contesto di NIS-2, occorre prestare particolare attenzione a questo punto. In questo contesto è anche importante sensibilizzare l'opinione pubblica sul contenuto della NIS-2.

10. Stabilire concetti di emergenza e stabilire la gestione dell'emergenza

È fondamentale che le persone colpite da NIS 2 adottino precauzioni di emergenza come parte della loro strategia di resilienza. Ciò include una pianificazione e una preparazione complete per garantire che l’azienda sia in grado di mantenere le proprie attività principali anche in situazioni di crisi o di emergenza. Comprende l’identificazione di potenziali minacce, lo sviluppo di piani di emergenza, l’implementazione di misure di mitigazione del rischio e la formazione dei dipendenti per rispondere adeguatamente in caso di emergenza. Un altro elemento importante è l’implementazione di piani di ripristino o riavvio dei sistemi IT. L'obiettivo generale è quello di migliorare la resilienza dell'organizzazione e garantire la sua capacità di continuare a operare in tutte le circostanze.

E implementarlo presto ne vale la pena

Chi inizia ora a prepararsi per l’entrata in vigore della legge NIS 2 sull’implementazione e il miglioramento della sicurezza informatica non si metterà in inutili difficoltà di tempo. Quindi è utile affrontare il problema in modo proattivo. Le raccomandazioni sulle azioni di cui sopra possono servire da guida. Alcuni dei punti menzionati potrebbero essere già stati implementati. In questo caso, si raccomanda di condurre un’adeguata analisi delle lacune per identificare le misure che rimangono aperte e colmare le lacune corrispondenti entro ottobre 2024.

Circa l'autore: Thomas Neuert è fondatore di GORISCON e amministratore delegato di neto Consulting.