La direttiva originaria 2016 sulla sicurezza delle reti e dell'informazione si concentrava principalmente sulla definizione di misure di sicurezza informatica di base per proteggere alcuni servizi chiave interconnessi nell'UE. L'attenzione era rivolta alle infrastrutture ritenute essenziali (come energia, acqua, trasporti, sanità e banche) e coperte dalle protezioni di base stabilite dalla direttiva.
La direttiva NIS2 amplia l'ambito di applicazione della direttiva NIS originale, includendo ulteriori settori ed entità. Copre gli operatori di servizi essenziali (OES) in settori quali l'energia, i trasporti, le infrastrutture bancarie e dei mercati finanziari, l'assistenza sanitaria, l'approvvigionamento idrico e le infrastrutture digitali (come i mercati online, il cloud computing e i motori di ricerca), nonché le organizzazioni che supportano gli OES.
Le organizzazioni incluse nella NIS2 devono conformarsi alle sue direttive entro il 17 ottobre 2024. È nell'interesse delle organizzazioni rispettare questa scadenza: oltre a fornire raccomandazioni efficaci in materia di sicurezza informatica, la NIS2 prevede anche multe fino a 2% del fatturato globale per le organizzazioni che non si conformano in determinate situazioni.
Ma mentre il NIS2 è chiaro su chi deve seguire le direttive e quali sono le sanzioni per la mancata conformità, una cosa che non definisce è come le organizzazioni devono prepararsi. Passiamo quindi in rassegna le linee guida NIS2 e le best practice che le organizzazioni dovrebbero adottare per soddisfare la conformità e difendersi dalle minacce emergenti.
Per definire meglio le organizzazioni da includere, sono stati stabiliti due criteri fondamentali: il settore e le dimensioni. Per quanto riguarda il settore, gli Allegati 1 e 2 del NIS2 identificano i settori "altamente critici" (ovvero entità essenziali) e "critici" (ovvero entità importanti). Esistono undici settori altamente critici, in gran parte legati alle operazioni quotidiane dell'economia di un Paese, come l'energia, i trasporti, le banche, i servizi idrici, la sanità, le infrastrutture digitali, il governo e lo spazio. I settori critici sono associati ai servizi chiave che sostengono l'economia di un Paese, come la produzione e la distribuzione di alimenti, prodotti chimici e merci, la gestione dei rifiuti, i fornitori di servizi digitali come gli ISP (Internet Service Provider) e la ricerca.
Per quanto riguarda le dimensioni, il NIS2 classifica le organizzazioni come Grandi o Medie. Le grandi organizzazioni sono quelle con più di 250 dipendenti e un fatturato di almeno 50 milioni di euro. Le organizzazioni di medie dimensioni sono quelle con meno di 250 dipendenti e un fatturato annuo non superiore a 50 milioni di euro.
Per affrontare la cooperazione, la NIS2 definisce anche una struttura per la segnalazione degli incidenti. Ciò include la formazione di componenti quali l'autorità competente, il punto di contatto unico e il CSIRT (Computer Security Incident Response Team). L'articolo 23 stabilisce cosa deve essere segnalato e le tempistiche.
L'applicazione è definita dall'adesione delle organizzazioni all'implementazione delle misure di gestione del rischio di cybersecurity e dei requisiti di segnalazione raccomandati. Le multe per la mancata conformità di queste aziende possono arrivare a 10 milioni di euro (o fino a 2% del fatturato globale) per le entità "altamente critiche" o a 7 milioni di euro per le entità "critiche".
Entro il 17 ottobre 2024, gli Stati membri dovranno adottare e pubblicare le misure necessarie per conformarsi alla Direttiva NIS2. Ma cosa significa esattamente per le aziende interessate?
La NIS2 delinea le misure chiave che i settori e le organizzazioni di infrastrutture digitali in tutta l'UE devono attuare, tra cui l'uso dell'autenticazione a più fattori (MFA), le politiche di controllo degli accessi e la gestione degli asset, l'igiene informatica di base e la formazione.
Il NIS2 non definisce come soddisfare tali misure. Al contrario, fa riferimento ad altri standard come ISO, CIS, NIST o IEC, insieme ai principi della fiducia zero, come linee guida che le organizzazioni dovrebbero seguire per ottenere la conformità.
Questi standard danno la priorità alla sicurezza dell'identità, ad esempio la ISO27002 Lo standard per la sicurezza delle informazioni, la cybersicurezza e la protezione della privacy fornisce indicazioni utili per migliorare il controllo degli accessi, la gestione delle identità, l'autenticazione sicura e altre funzionalità che si allineano al NIS2. Il NIS2 raccomanda anche il NIST I sette principi della fiducia zero, che enfatizzano anche i controlli di sicurezza dell'identità.
Seguendo questi due approcci, le organizzazioni interessate disporranno di una metodologia completa per raggiungere la conformità NIS2 e difendersi dagli attacchi informatici più frequenti e dannosi.
Un vecchio detto dice che le organizzazioni non dovrebbero mai sprecare una buona crisi, e questo è il caso di NIS2, che costringe le organizzazioni a valutare tutti gli aspetti dei loro protocolli di sicurezza e a concentrarsi sui principi di zero trust e sugli standard pertinenti che si applicano alla loro attività. In questo modo, le organizzazioni non dovrebbero affrontare la NIS2 come una esercizio di check-the-boxSe si prendono il tempo necessario per valutare la propria postura in materia di cybersecurity, dovrebbero investire nelle capacità di difesa contro le minacce più frequenti e a più alto impatto.
Nella maggior parte dei casi, si tratta di identità. Il 2023 Verizon Data Breach Investigations Report ha rilevato che le "tre modalità principali con cui gli aggressori accedono a un'organizzazione sono il furto di credenziali, il phishing e lo sfruttamento delle vulnerabilità". Inoltre, l'uso di credenziali rubate "è diventato il punto di ingresso più popolare per le violazioni" nell'ultimo anno; il rapporto ha rilevato che 49% di tutte le violazioni di dati ha coinvolto le credenziali.
Non è solo che l'identità è il dominio che viene compromesso nella maggior parte degli attacchi, ma anche che gli attacchi legati all'identità tendono a costare di più alle organizzazioni. Il Cost of a Data Breach Report 2023 di IBM ha rilevato che il vettore di attacco iniziale più frequente è il phishing; è anche uno dei più costosi, con un costo medio per le organizzazioni di $4,76 milioni.
Sebbene tutti i domini di sicurezza siano importanti, l'identità, soprattutto nell'ambiente di lavoro ibrido, svolge un ruolo fondamentale nella sicurezza dell'organizzazione. Le organizzazioni dovrebbero incaricare un partner per la sicurezza incentrato sull'identità di condurre una valutazione NIS2 e consigliare la migliore combinazione di soluzioni automatizzate di intelligence dell'identità, autenticazione, gestione degli accessi, governance e ciclo di vita per consentire di proteggere tutte le risorse, le identità e gli ambienti stabiliti dalla direttiva NIS2.
Le organizzazioni scopriranno che una piattaforma di identità unificata sarà il modo più semplice per garantire una revisione completa ed esaustiva end-to-end e una serie di soluzioni che possono essere stabilite per superare tutti i requisiti NIS2 e scalare per soddisfare le esigenze future con l'evolversi dei requisiti di business e di sicurezza.
Per saperne di più, contattate RSA per iniziare la valutazione della sicurezza dell'identità NIS2.
