Probabilmente hai già sentito parlare della Direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS2) aggiornata dall'Unione europea. Questa direttiva sarà recepita nella legislazione nazionale entro ottobre 2024. È importante farsi trovare pronti, perché la mancata conformità può comportare sanzioni e ammende elevate.

Potresti però pensare che ottobre 2024 sia ancora lontano. Meglio non sottovalutare la scadenza.

Dopotutto, come puoi sapere se hai abbastanza tempo per prepararti se non sai quanto sei già conforme alle normative previste?

Per questo, da qui a ottobre 2024, devi sottoporre ad audit il tuo attuale stato di cybersicurezza. In particolare:

  1. Individuare fin da subito le lacune rispetto ai requisiti della Direttiva NIS2
  2. Esaminare le attuali carenze di sicurezza della catena di fornitura

Nella seconda parte di questa serie analizzerò le tre aree su cui intervenire per colmare le lacune emerse dagli audit — incluso come:

  1. Informare il management sulle lacune di cybersicurezza.
  2. Implementare correttamente nuove misure di sicurezza organizzative e tecniche.
  3. Trovare il tempo per formare tutti i dipendenti.

1. Individuare fin da subito le lacune rispetto ai requisiti della Direttiva NIS2

La Direttiva NIS2 è la normativa dell'UE in materia di cybersicurezza che introduce misure giuridiche per innalzare il livello complessivo di cybersicurezza nell'Unione. Modernizza il quadro normativo esistente per adeguarlo all'aumento della digitalizzazione e a un panorama delle minacce informatiche in continua evoluzione.

La direttiva estende l'ambito di applicazione delle norme di cybersicurezza a nuovi settori e soggetti, migliorando la resilienza e le capacità di risposta agli incidenti di enti pubblici e privati, autorità competenti e dell'intera UE.

La Direttiva NIS2 definisce misure più incisive per rafforzare la resilienza contro gli attacchi informatici, ridurre al minimo le vulnerabilità e migliorare la difesa informatica.

Per conformarti alla Direttiva NIS2, devi:

  • Valutare la tua postura di cybersicurezza e individuare eventuali lacune o punti deboli che potrebbero esporti a rischi informatici.
  • Mappare le policy, le procedure e i controlli esistenti rispetto ai requisiti della direttiva e capire dove migliorarli o aggiornarli.
  • Valutare le capacità di risposta agli incidenti e i meccanismi di reporting, assicurandoti che siano allineati agli standard della direttiva.

Uno dei principali problemi della NIS2 è che indica cosa dovresti fare, ma non come farlo. Fortunatamente, diversi framework possono aiutarti a definire il come, tra cui:

In Belgio, il CCB ha creato un Cyberfundamentals Framework basato su più framework, con riferimenti a come le diverse parti dei framework si collegano al GDPR e alla NIS2.

Dopo aver selezionato il framework, devi individuare le lacune rispetto al framework scelto e ai requisiti della direttiva. L'individuazione delle lacune non è un'attività semplice né rapida: richiede un'analisi approfondita e sistematica della maturità e del livello di preparazione della cybersicurezza della tua organizzazione.

Non devi solo verificare la strategia e le policy di cybersicurezza, ma anche condurre un'analisi dei rischi per individuare gli asset più critici e i rischi informatici associati, quindi valutare controlli di sicurezza che riducano il punteggio di rischio di tali asset essenziali.

Prima inizi questo processo, più tempo avrai per ottenere il budget necessario a risolvere eventuali problemi e implementare le modifiche richieste.

Possibili lacune dell'ambiente NIS2

Tra le possibili lacune che potresti riscontrare nel tuo ambiente rientrano:

  • Assenza di una strategia o policy di cybersicurezza completa che copra tutti gli aspetti della gestione del rischio, della risposta agli incidenti, della continuità operativa, della protezione dei dati, ecc.
  • Assenza di un team o di una funzione dedicata alla cybersicurezza che supervisioni, coordini e monitori tutte le attività e iniziative di cybersicurezza nell'intera organizzazione.
  • Assenza di controlli o misure di sicurezza adeguati per proteggere le reti e i sistemi informativi da accessi, utilizzi, divulgazioni, modifiche o distruzioni non autorizzati.
  • Assenza di test o audit regolari dei controlli o delle misure di sicurezza, per garantirne l'efficacia e la conformità ai requisiti della direttiva.
  • Assenza di programmi adeguati di formazione o sensibilizzazione per il personale, il management, altri dipendenti o altri stakeholder in merito a temi e best practice di cybersicurezza.
  • Assenza di canali chiari di comunicazione o reporting per notificare alle autorità o alle parti pertinenti eventuali incidenti o violazioni che interessano i tuoi servizi.

Potenziali soluzioni di sicurezza per il tuo ambiente per conformarti alla NIS2

Per individuare e colmare queste lacune di sicurezza, puoi:

  • Eseguire framework o modelli di gap analysis che ti aiutino a confrontare lo stato attuale con quello desiderato e a individuare le aree di miglioramento.
  • Implementare modelli o standard di maturità della cybersicurezza che ti aiutino a misurare il livello di prestazioni e i progressi in ambito cybersicurezza.
  • Condurre una valutazione del rischio per identificare asset, minacce, vulnerabilità, impatti e probabilità di attacchi informatici.
  • Richiedere audit o valutazioni esterne che ti aiutino a convalidare il tuo stato di conformità e a individuare eventuali debolezze o carenze.

2. Esaminare le attuali carenze di sicurezza della catena di fornitura con tempo sufficiente per coordinare le azioni con i fornitori

La Direttiva NIS2 introduce inoltre nuove disposizioni sulla sicurezza della catena di fornitura (capitolo 0, punti 54 e 56), riconoscendo che le minacce informatiche possono provenire da fornitori terzi o subappaltatori.

La direttiva richiede alle organizzazioni di assicurarsi che i fornitori adottino standard e pratiche di sicurezza adeguati (articolo 21-2d) e di monitorarne regolarmente le prestazioni e la conformità (articolo 21–3).

E non senza motivo. Gli attacchi alla catena di fornitura sono in aumento:

In una ricerca BlackBerry condotta nel 2022 su oltre 1.500 decision maker IT, quattro intervistati su cinque hanno dichiarato di essere stati informati di un attacco o di una vulnerabilità nella propria catena di fornitura nel corso dell'anno. Il 77% ha affermato di aver scoperto partecipanti nascosti nella propria supply chain software di cui in precedenza non era a conoscenza.

Una ricerca Accenture rivela inoltre che il 40% delle violazioni della sicurezza è indiretto e avviene attraverso la catena di fornitura.

Pertanto, mettere in sicurezza la catena di fornitura è essenziale per garantire continuità operativa, resilienza, reputazione e fiducia.

Tuttavia, nel Press Reset: A 2023 Cybersecurity Status Report di Ivanti, abbiamo rilevato che solo il 42% degli oltre 1.300 leader executive e professionisti della sicurezza intervistati si dichiara pronto a proteggersi dalle minacce alla catena di fornitura, anche se il 46% le considera una minaccia di alto livello.

Le minacce alla catena di fornitura non arrivano solo tramite attacchi a fornitori di soluzioni come Okta, Kaseya o SolarWinds, ma anche tramite partner direttamente connessi alla tua infrastruttura IT o in grado di accedervi.

E non dimenticare gli attacchi ai tuoi fornitori di risorse, che potrebbero bloccarli al punto da impedire loro di consegnare determinate risorse necessarie per le tue attività. Devi essere preparato e disporre di fornitori di backup in grado di fornire quelle risorse se il fornitore principale è fuori servizio a causa di un attacco informatico o per altri motivi.

La sicurezza della catena di fornitura è un tema complesso e impegnativo, che coinvolge molteplici attori, dipendenze e interconnessioni, e non può essere realizzata dall'oggi al domani.

Devi:

  • Stabilire canali di comunicazione chiari e trasparenti con i fornitori e definire aspettative e obblighi in materia di cybersicurezza.
  • Condurre audit e valutazioni regolari delle pratiche di sicurezza dei fornitori e verificare che soddisfino i requisiti della direttiva.
  • Stabilire piani di emergenza e soluzioni di backup in caso di interruzione o compromissione della catena di fornitura.

Inoltre, devi iniziare a coinvolgere i fornitori il prima possibile e collaborare con loro per garantire che la catena di fornitura sia sicura e resiliente.

Sfide di sicurezza della catena di fornitura per la NIS2

Tra le possibili sfide che potresti affrontare nella messa in sicurezza della catena di fornitura rientrano:

  • Mancanza di visibilità o trasparenza sulle pratiche, le policy o gli incidenti di sicurezza dei fornitori.
  • Mancanza di fiducia o collaborazione tra i fornitori o tra te e i tuoi fornitori.
  • Mancanza di coerenza o allineamento negli standard, nei requisiti o nelle aspettative di sicurezza lungo tutta la catena di fornitura.
  • Mancanza di risorse o capacità per monitorare, sottoporre ad audit o verificare le prestazioni o la conformità di sicurezza dei fornitori.
  • Mancanza di piani di emergenza o soluzioni di backup per mitigare o superare eventuali interruzioni o compromissioni della catena di fornitura.
  • Mancanza di informazioni su ciò che ti aspetti dalle pratiche di sicurezza dei tuoi fornitori.

Soluzioni per la sicurezza della catena di fornitura per la NIS2

Per superare queste sfide di sicurezza della catena di fornitura, puoi:

  • Stabilire contratti o accordi chiari con i fornitori, specificando obblighi, responsabilità e responsabilità legali in materia di sicurezza.
  • Sviluppare criteri, linee guida o framework di sicurezza comuni applicabili a tutti i fornitori della catena di fornitura e allineati ai requisiti della direttiva.
  • Implementare controlli, misure o strumenti di sicurezza che consentano di tracciare, monitorare o verificare le attività di sicurezza, gli incidenti o lo stato di conformità dei fornitori.
  • Creare team, comitati o forum congiunti sulla sicurezza che facilitino la condivisione di informazioni, la collaborazione e il coordinamento tra i fornitori o tra te e i tuoi fornitori.
  • Costruire fiducia e comprensione reciproca con i fornitori attraverso comunicazioni regolari, feedback e riconoscimento.

Una volta completati gli audit per la Direttiva NIS2, qual è il passo successivo?

Ora che hai determinato la tua posizione attuale rispetto alla Direttiva NIS2, è il momento di implementare cambiamenti critici per garantire la conformità entro ottobre 2024. Sono certo che colmare le lacune individuate dagli audit richiederà tutto il tempo a disposizione, e probabilmente anche di più, prima che le normative vengano ufficialmente implementate nel tuo Paese.

Ma come affrontare queste lacune in modo sistematico e tempestivo? Nel prossimo post del blog parleremo delle tre aree di cambiamento in ambito sicurezza necessarie per la NIS2, esaminando come:

  1. Informare il management sulle lacune di cybersicurezza.
  2. Implementare correttamente nuove misure di sicurezza organizzative e tecniche.
  3. Trovare il tempo per formare tutti i dipendenti.