La Direttiva NIS 2 si allinea con le normative europee sulla protezione dei dati e della privacy, con l'obiettivo di potenziare le misure di sicurezza informatica. Tra le novità introdotte dalla NIS 2 vi è un approccio multirischio e specifiche misure di sicurezza. Scopri in questo articolo come la tua azienda può affrontare con successo le sfide della sicurezza informatica alla luce della direttiva NIS2.
All'interno della Direttiva, l'articolo 21 esplicita le linee guida per gestire i rischi legati alla sicurezza informatica, proponendo una serie di azioni per affrontare le minacce alla sicurezza dei sistemi, con l'obiettivo di prevenire o almeno minimizzare l'impatto degli incidenti sia sui destinatari diretti dei servizi sia sulle attività correlate.
La Direttiva NIS 2 pone l'accento su un approccio multirischio per garantire che i soggetti definiti "essenziali" e "importanti" siano preparati ad affrontare un vasto panorama di minacce. L’obiettivo non è solo difendersi dagli attacchi cyber, ma anche avere una visione più ampia che include anche i rischi fisici e ambientali, la gestione dei processi interni e della catena di approvvigionamento, la preparazione della risposta agli attacchi e la condivisione delle informazioni. Va sottolineato che le misure previste da NIS2 si riflettono nei vari framework legati alla sicurezza delle informazioni, come la ISO 27001 o il NIST.
I soggetti inclusi nel campo di applicazione della direttiva devono implementare procedure che includono, tra le altre cose:La NIS2 prevede anche la designazione di un responsabile della sicurezza informatica all'interno delle aziende, che saranno tenute a notificare immediatamente le violazioni di sicurezza alle autorità competenti e a collaborare attivamente con esse per risolvere la situazione.
È importante notare che la Commissione europea potrà stabilire requisiti tecnici e metodologici specifici per tali misure, considerando le diverse peculiarità dei settori, come ad esempio il settore bancario rispetto a quello alimentare. La NIS2 si applica, in realtà, a tutte le aziende che offrono servizi essenziali per la società, come le telecomunicazioni, l'energia elettrica, il trasporto. i provider di cloud computing e i social media.
Il concetto di autenticità dei dati è menzionato in diversi passaggi della NIS2.
La riservatezza, l'integrità e la disponibilità dei dati (paradigma RID) sono i tre fondamenti della gestione della sicurezza informatica aziendale. Tuttavia, per affrontare al meglio le sfide attuali, è necessario aggiungere un nuovo pilastro: l'autenticità. Con l'evolversi degli scenari di minaccia, la Direttiva NIS 2 pone l'enfasi su questo elemento per garantire la protezione delle infrastrutture critiche.
L'autenticità è rilevante oggi perché gli attacchi di ingegneria sociale sono sempre più sofisticati. Inoltre, con l'espansione dell'IoT e l'adozione di ambienti cloud e di lavoro remoto, il perimetro di sicurezza si è notevolmente ampliato, rendendo cruciale l'utilizzo di meccanismi di autenticazione.
Secondo quanto stabilito dalla norma ISO/IEC 27000:2018 "Tecniche di sicurezza informatica Sistemi di gestione della sicurezza informatica - Panoramica e vocabolario", l'autenticità è definita come "la qualità per cui un'entità è effettivamente ciò che dichiara di essere". In altre parole, l'autenticità garantisce che le informazioni siano effettivamente provenienti dalla fonte dichiarata e che non siano state manipolate durante il processo di trasmissione. Assicurare l'autenticità implica, per esempio, confermare che un documento, un messaggio o una transazione provengono effettivamente dalla fonte dichiarata, senza alcuna interferenza esterna.
Esistono diversi strumenti a disposizione per garantire l'autenticità di un dato, per esempio firme digitali, timestamps, blockchain, crittografia e certificati digitali.
In secondo luogo, è importante sviluppare piani di risposta agli incidenti di sicurezza, definendo le procedure da seguire in caso di violazioni, il team di risposta agli incidenti, la raccolta delle prove digitali, il processo di notifica alle autorità competenti e la gestione delle relazioni con i clienti e gli stakeholder.
Consapevoli della raffinatezza delle tecniche di attacco più recenti, in realtà è consigliabile individuare l’insieme di interventi più efficace per la propria specifica realtà aziendale. Questo è un compito complesso, per il quale è necessaria un' esperienza trasversale nei settori della cybersecurity, della modellizzazione del rischio e del suo trasferimento al mercato. Ecco perché la soluzione più economica ed efficace è quella di affidarsi a dei professionisti del settore.
I professionisti del settore svolgono oggi un ruolo fondamentale nel supporto alle aziende per affrontare le sfide della sicurezza informatica, soprattutto alla luce della direttiva NIS2. In questo contesto, una proposta interessante è sicuramente quella di Professional Link e Aon.
Professional Link, con la propria offerta di cyber security “Elephant in the Room”, è in grado di guidare le imprese nell’analisi predittiva del loro sistema informativo. Basata sull’Intelligenza Artificiale, Elephant in the Room integra a propria volta le competenze di operatori esperti garantendo tecnologia all’avanguardia ed eccellenza dei servizi. Aon, leader nei servizi assicurativi di livello globale, ha sviluppato strumenti proprietari di assessment che derivano da esperienza in ambiti high-tech, militari e industriali.
L’accordo consente a Professional Link di integrare la propria tecnologia di rilevazione e mitigazione delle minacce cyber con la capacità di analisi dell’esposizione aziendale a crimini informatici e i servizi di assicurabilità per i rischi residui di Aon. La collaborazione di queste due realtà, oltre ai servizi di consulenza cyber, copre anche gli aspetti di assicurabilità: le aziende possono così implementare un sistema completo di Security Information and Event Management, affrontando in modo strutturato le criticità legate al rischio informatico fino alla fase della protezione assicurativa, con un unico interlocutore di riferimento.
Il ruolo di professionisti della sicurezza informatica è essenziale nel contesto della normativa NIS2. Collaborare con aziende come Professional Link e Aon può aiutare le aziende a implementare misure di sicurezza efficaci e garantire una risposta rapida ed efficace agli attacchi informatici.