<?xml version="1.0" encoding="utf-8"?><rss xmlns:atom="http://www.w3.org/2005/Atom" version="2.0"><channel><title>Ivanti Blog: Post di </title><description /><language>it</language><atom:link rel="self" href="https://www.ivanti.com/it/blog/authors/patrick-kaak/rss" /><link>https://www.ivanti.com/it/blog/authors/patrick-kaak</link><item><guid isPermaLink="false">492fb6d4-109c-46ca-815a-5844a2c48ebf</guid><link>https://www.ivanti.com/it/blog/modern-application-control-trusted-ownership-vs-allowlisting</link><atom:author><atom:name>Patrick Kaak</atom:name><atom:uri>https://www.ivanti.com/it/blog/authors/patrick-kaak</atom:uri></atom:author><category>Sicurezza</category><title>Trusted Ownership: come Ivanti Application Control va oltre l'allowlisting</title><description>&lt;p&gt;Il controllo applicazioni è uno di quei temi di sicurezza su cui molte persone conservano vecchie convinzioni. L'allowlisting tradizionale sembra sicuro, ma diventa rapidamente un onere di manutenzione. Il blocklisting appare reattivo e incompleto. E se strumenti come Microsoft AppLocker hanno portato molti a credere che un allowlisting rigoroso sia lo standard di riferimento, gli attacchi moderni hanno dimostrato il contrario. Gli attaccanti si affidano sempre più a &lt;i&gt;strumenti legittimi e firmati &lt;/i&gt;— utilizzati nel contesto sbagliato — per aggirare completamente i controlli basati su elenchi.&lt;/p&gt;&lt;p&gt;Quando quindi le organizzazioni valutano &lt;a href="https://www.ivanti.com/it/products/application-control"&gt;Ivanti Application Control&lt;/a&gt; o &lt;a href="https://www.ivanti.com/it/products/app-control-and-privileged-management"&gt;Ivanti Neurons for App Control&lt;/a&gt; e incontrano Trusted Ownership, inizialmente potrebbe sembrare simile al blocklisting, perché sono possibili blocchi espliciti. In realtà, Trusted Ownership è un modello di applicazione molto più ampio e molto più leggero dal punto di vista operativo, ispirato alla provenienza, che controlla l'esecuzione in base all'origine, non solo all'identità.&lt;/p&gt;&lt;p&gt;Invece di gestire elenchi in continua crescita, applica la sicurezza in base a chi ha inserito il software nel sistema, allineandosi in modo naturale alle moderne pratiche di distribuzione del software e ai principi zero trust. È più corretto considerarlo non come un ulteriore meccanismo basato su elenchi, ma come un modello di applicazione ispirato alla provenienza che controlla l'esecuzione in base all'origine, non solo all'identità.&lt;/p&gt;&lt;p&gt;Questo cambio di prospettiva porta a una domanda più efficace per il controllo applicazioni moderno: non solo che cosa &lt;i&gt;sia&lt;/i&gt; un file, ma &lt;i&gt;come sia arrivato lì.&lt;/i&gt;&lt;/p&gt;&lt;h2&gt;Oltre gli elenchi: perché il controllo della provenienza oggi è importante&lt;/h2&gt;&lt;p&gt;La domanda su come un file sia arrivato sul sistema è al centro del controllo della provenienza. Invece di considerare attendibili i file solo in base a editore, percorso o hash, il controllo della provenienza valuta &lt;i&gt;l'origine e il processo&lt;/i&gt; che li hanno introdotti. &lt;i&gt;Chi ha scritto il file su disco? Attraverso quale meccanismo? L'installazione ha seguito un workflow IT controllato?&lt;/i&gt; Questa valutazione sposta il controllo applicazioni dalla fiducia nell'oggetto alla fiducia nel processo, creando un perimetro di sicurezza molto più solido.&lt;/p&gt;&lt;p&gt;In Ivanti Application Control, il controllo della provenienza viene implementato come &lt;a href="https://help.ivanti.com/ap/help/en_US/am/2025/Content/Application_Manager/Trusted_Owners.htm" target="_blank"&gt;Trusted Ownership&lt;/a&gt;. Qualsiasi file inserito da un proprietario attendibile viene consentito; qualsiasi elemento introdotto da un utente viene negato per impostazione predefinita. Questo vale in modo coerente per eseguibili, DLL, programmi di installazione e script. Poiché identità come SYSTEM, TrustedInstaller e Administrators sono attendibili per impostazione predefinita, il software distribuito tramite canali di deployment standard come MS Intune, MECM, Ivanti Endpoint Manager (EPM) o altri strumenti enterprise viene eseguito immediatamente, senza manutenzione delle regole o eccezioni.&lt;/p&gt;&lt;p&gt;Questo rappresenta una rottura fondamentale rispetto all'allowlisting classico. Le regole di AppLocker dipendono da definizioni esatte di editore, percorso o hash. Non valuta l'origine dell'installazione e non considera automaticamente attendibili i meccanismi di deployment. Il software distribuito da Intune richiede comunque una regola di autorizzazione preesistente, spesso basata su impostazioni predefinite ampie che consentono le directory Program Files o Windows.&lt;/p&gt;&lt;p&gt;&lt;img alt="A flowchart illustrates an app provenance engine that allows trusted origins and blocks untrusted ones. On the left, a trusted IT admin provides a company app, which is allowed by the provenance engine and marked with a green check. On the right, a user tries to introduce an unknown executable (EXE), which is blocked by the provenance engine, marked with a red X. The blocked executable is shown again at the bottom with a cross mark. The diagram visually separates trusted, allowed content from untrusted, blocked content." src="https://static.ivanti.com/sites/marketing/media/images/blog/2026/02/actrustedownershipblog_image1.jpg"&gt;&lt;/p&gt;&lt;p&gt;Questa distinzione è importante perché gli attacchi moderni trasformano sempre più spesso strumenti legittimi in armi, usandoli in contesti impropri. Il controllo della provenienza neutralizza gran parte di questo rischio applicando la fiducia a &lt;i&gt;come&lt;/i&gt; arriva il software, non solo a &lt;i&gt;che cosa&lt;/i&gt; sia. Si allinea ai principi zero trust, riduce l'esposizione della supply chain e restringe drasticamente, per impostazione predefinita, le opportunità di abuso Living off the Land (LotL).&lt;/p&gt;&lt;p&gt;Una volta compresa l'importanza dell'origine, la domanda successiva diventa: come applicarla su larga scala?&lt;/p&gt;&lt;p&gt;La risposta: applicare la provenienza in modo coerente a tutti i modi in cui il software viene eseguito e a tutti i modi in cui viene distribuito.&lt;/p&gt;&lt;h2&gt;Oltre le blocklist: una copertura ampia progettata per il deployment software moderno&lt;/h2&gt;&lt;p&gt;Il controllo della provenienza sposta la sicurezza applicativa dalla gestione di elenchi interminabili alla convalida del processo con cui il software arriva sul sistema. Una volta adottata questa prospettiva, diventa chiaro che Trusted Ownership non è un approccio basato su blocklist. È un perimetro di fiducia basato sull'origine, che si comporta in modo molto diverso dall'allowlisting tradizionale.&lt;/p&gt;&lt;p&gt;Un equivoco comune è che Trusted Ownership assomigli al blocklisting perché gli amministratori a volte aggiungono regole di negazione mirate per strumenti Windows noti. In pratica, queste regole di negazione sono misure di hardening difensivo contro le tecniche Living off the Land. Ogni metodo serio di controllo applicazioni utilizza restrizioni mirate di questo tipo. Il nucleo di Trusted Ownership è l'opposto del blocklisting. Il software distribuito tramite un processo controllato e attendibile è consentito per impostazione predefinita, mentre il contenuto introdotto dall'utente è negato per impostazione predefinita.&lt;/p&gt;&lt;p&gt;&lt;object codetype="CMSInlineControl" type="Video"&gt;&lt;param name="platform" value="youtube"&gt;&lt;param name="lang" value="en"&gt;&lt;param name="id" value="cMWocpzF3Uo"&gt;&lt;param name="cms_type" value="video"&gt;&lt;/object&gt;&lt;/p&gt;&lt;p&gt;Un elemento di differenziazione più importante è la copertura. Molte organizzazioni che si affidano agli allowlist classici finiscono per concentrarsi quasi esclusivamente sui file eseguibili. Spesso evitano di applicare lo stesso controllo a DLL, script e pacchetti MSI perché questi tipi di file rendono la manutenzione delle regole molto più complessa. Questo crea lacune che gli attaccanti moderni sfruttano di frequente.&lt;/p&gt;&lt;p&gt;Trusted Ownership evita queste lacune applicando lo stesso controllo basato sull'origine all'intera catena di esecuzione. Eseguibili, DLL, script, programmi di installazione MSI e componenti correlati vengono valutati attraverso lo stesso modello di fiducia. Poiché la fiducia è determinata da chi ha introdotto il file, non servono criteri separati per ogni tipo di file. Uno script nella cartella Download, una DLL creata in una directory di build temporanea o un EXE eseguito da un profilo utente ricevono tutti lo stesso trattamento di negazione predefinita quando hanno origine al di fuori di un processo di installazione controllato.&lt;/p&gt;&lt;p&gt;Questo modello di fiducia si allinea inoltre in modo naturale al modo in cui le moderne piattaforme di gestione degli endpoint distribuiscono il software. Soluzioni come Intune, MECM, Ivanti Neurons for MDM, &lt;a href="https://www.ivanti.com/it/products/endpoint-manager"&gt;Ivanti Endpoint Manager&lt;/a&gt; e sistemi simili installano in genere le applicazioni utilizzando l'identità SYSTEM o un altro account di servizio attendibile.&lt;/p&gt;&lt;p&gt;Poiché queste identità sono già Trusted Owner, il software distribuito tramite questi canali viene eseguito immediatamente senza creare regole di autorizzazione, mantenere percorsi file o aggiornare criteri. Solo quando si utilizzano intenzionalmente account di installazione alternativi, come agenti DevOps personalizzati o installazioni tramite script nel contesto utente, è necessario identificare tale identità come Trusted Owner.&lt;/p&gt;&lt;p&gt;Il risultato è un modello con una copertura ampia e coerente su tutti i tipi di file rilevanti. Funziona senza interruzioni con le moderne distribuzioni software ed evita l'overhead operativo associato agli allowlist classici, che si concentrano principalmente sui file eseguibili.&lt;/p&gt;&lt;p&gt;Trusted Ownership colloca la fiducia non nei singoli oggetti, ma nei processi controllati attraverso cui il software viene distribuito, creando un approccio al controllo applicazioni più scalabile e più sicuro.&lt;/p&gt;&lt;h2&gt;Il ruolo di WDAC (App Control for Business)&lt;/h2&gt;&lt;p&gt;Microsoft mantiene due tecnologie di controllo applicazioni: AppLocker e App Control for Business (in precedenza WDAC). Sebbene entrambe esistano ancora, Microsoft è chiara sui rispettivi ruoli. AppLocker aiuta a impedire agli utenti di eseguire applicazioni non approvate, ma non soddisfa i criteri di manutenzione per le funzionalità di sicurezza moderne ed è quindi classificato come &lt;a href="https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/applocker/applocker-overview" rel="noopener" target="_blank"&gt;meccanismo di difesa in profondità piuttosto che come controllo di sicurezza strategico&lt;/a&gt;.&lt;/p&gt;&lt;p&gt;La direzione futura di Microsoft per il controllo applicazioni è App Control for Business e Microsoft afferma esplicitamente che AppLocker è feature-complete e non è più in sviluppo attivo, oltre agli aggiornamenti di sicurezza essenziali. Ciò significa che tutte le nuove funzionalità vengono fornite solo in WDAC e non in AppLocker.&lt;/p&gt;&lt;p&gt;App Control for Business introduce il concetto di &lt;i&gt;Managed Installer&lt;/i&gt;. Questo consente a Windows di considerare automaticamente attendibili le applicazioni installate tramite piattaforme di deployment designate, come Intune o MECM. La fiducia deriva dal canale di distribuzione anziché dai singoli file, riducendo in modo significativo la manutenzione delle regole.&lt;/p&gt;&lt;p&gt;Questo si allinea strettamente al modello Trusted Ownership di Ivanti Application Control. Entrambi gli approcci considerano attendibile il software in base al processo controllato che lo ha installato, anziché in base ad attributi discreti dei file. Tuttavia, Trusted Ownership applica questo concetto in modo più semplice e più accessibile dal punto di vista operativo. Ivanti considera attendibili identità come SYSTEM e gli account di servizio designati, senza richiedere livelli di policy complessi, definizioni XML o competenze approfondite su WDAC.&lt;/p&gt;&lt;p&gt;Ivanti sente da molte organizzazioni che l'operatività di WDAC è complessa. I criteri WDAC richiedono una progettazione attenta, test prolungati in modalità audit, gestione delle eccezioni per driver e kernel e manutenzione continua di più set di criteri. &lt;a href="https://www.reddit.com/r/Intune/comments/16oov9d/is_anyone_actually_successfully_deploying_wdac_as/" rel="noopener" target="_blank"&gt;Questo spesso porta le organizzazioni a combinare WDAC con AppLocker&lt;/a&gt; per coprire sia l'applicazione a basso livello sia il controllo quotidiano dello spazio utente, finendo per generare overhead amministrativo.&lt;/p&gt;&lt;p&gt;Ivanti Application Control offre un'alternativa unificata. Attraverso Trusted Ownership, Trusted Vendors e la convalida delle firme digitali, fornisce un modello di negazione predefinita basato sulla provenienza, con copertura coerente su eseguibili, DLL, script e pacchetti MSI.&lt;/p&gt;&lt;p&gt;Invece di mantenere due piani di controllo Microsoft con ambiti diversi, le organizzazioni gestiscono un unico criterio semplificato che applica la fiducia in base a come il software viene introdotto nel sistema. Questo consente di raggiungere molti degli obiettivi pratici che i clienti cercano di ottenere con un deployment combinato di WDAC e AppLocker, ma con minore complessità operativa e un modello di fiducia coerente.&lt;/p&gt;&lt;h2&gt;LOLBins e controllo a livello di argomenti&lt;/h2&gt;&lt;p&gt;Una volta stabilita una copertura ampia, il tema diventa come gestire gli strumenti legittimi già presenti su ogni macchina, che gli attaccanti amano sfruttare.&lt;/p&gt;&lt;p&gt;Gli attaccanti moderni spesso evitano di utilizzare malware tradizionale e si affidano invece agli strumenti già presenti su ogni dispositivo Windows. Questi strumenti Living off the Land (LOLBins) sono legittimi e necessari per le normali operazioni, il che li rende difficili da bloccare senza incidere sulla produttività. L'allowlisting tradizionale fatica in questo contesto, perché blocchi troppo ampi interrompono i workflow, mentre autorizzazioni troppo ampie lasciano pericolose lacune.&lt;/p&gt;&lt;p&gt;Un modello basato sulla provenienza come Trusted Ownership cambia questa dinamica. Anche se un attaccante tenta di utilizzare uno strumento integrato, il contenuto che prova a eseguire di solito non proviene da un processo di installazione attendibile. Poiché Ivanti valuta l'origine di quel contenuto, la maggior parte dei tentativi di uso improprio fallisce automaticamente. Lo strumento può essere legittimo, ma il contenuto che gli viene chiesto di eseguire non lo è, e Trusted Ownership lo blocca prima dell'esecuzione.&lt;/p&gt;&lt;p&gt;È importante capire non solo quali strumenti vengono eseguiti, ma anche che cosa viene chiesto loro di fare. Molti interpreti e runtime, come PowerShell, Python o Java, possono essere perfettamente sicuri in un contesto e rischiosi in un altro. Un'applicazione aziendale può basarsi su Java per avviare un processo specifico e approvato, mentre un file JAR scaricato da un utente rappresenta uno scenario completamente diverso.&lt;/p&gt;&lt;p&gt;&lt;img alt="A diagram explains how PowerShell scripts are evaluated in two security layers: Ownership and Intent. The first layer uses a trusted ownership check to block malicious scripts, while allowing approved commands using argument-level control. The second layer, focused on intent, uses policy enforcement to block malicious activity while allowing legitimate processes to run. Icons represent scripts, commands, and shield checks, with arrows showing allowed and blocked paths." src="https://static.ivanti.com/sites/marketing/media/images/blog/2026/02/actrustedownershipblog_image2.jpg"&gt;&lt;/p&gt;&lt;p&gt;Ivanti gestisce questo aspetto con un approccio a livelli. Un file JAR viene prima valutato tramite Trusted Ownership, che lo blocca immediatamente se è stato introdotto da un utente anziché tramite un processo di deployment controllato. Oltre a questo, gli amministratori possono creare semplici regole di autorizzazione che specificano esattamente quali comandi Java sono consentiti, garantendo che vengano eseguite solo applicazioni basate su Java legittime, mentre i tentativi di avviare file JAR non approvati vengono negati in modo silenzioso.&lt;/p&gt;&lt;p&gt;Lo stesso principio si applica anche ad altri strumenti. I criteri possono approvare il comportamento esatto di cui l'organizzazione ha bisogno, bloccando al contempo le attività che escono da quei limiti. Questo evita regole ampie e fragili e mantiene fluido il lavoro quotidiano.&lt;/p&gt;&lt;p&gt;Il risultato è un approccio equilibrato e moderno. Trusted Ownership blocca per impostazione predefinita i contenuti non attendibili. L'hardening mirato si allinea alle best practice governative e della community per ridurre gli abusi living off the land, mentre i controlli consapevoli dell'intento assicurano che i processi legittimi continuino a funzionare senza aprire porte agli attaccanti.&lt;/p&gt;&lt;p&gt;Questo approccio è strettamente allineato alle attuali linee guida della community e degli enti governativi sulla mitigazione delle tecniche living off the land. Agenzie come CISA, NSA, FBI e l'&lt;a href="https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/identifying-and-mitigating-living-off-the-land-techniques#best-practice-recommendations" rel="noopener" target="_blank"&gt;Australian Cyber Security Centre&lt;/a&gt; sottolineano l'importanza di ridurre le opportunità per gli attaccanti di usare strumenti integrati, controllando come vengono utilizzati e limitando i contenuti non attendibili su cui operano. Le loro linee guida congiunte evidenziano che gli attacchi LOTL dipendono dall'abuso di strumenti nativi e sottolineano la necessità di controlli che limitino questo uso improprio senza bloccare i processi di sistema legittimi.&lt;/p&gt;&lt;p&gt;Il modello di Ivanti riflette queste linee guida. Trusted Ownership blocca automaticamente i contenuti non attendibili su cui gli attaccanti fanno affidamento, mentre un numero limitato di restrizioni mirate interviene sul piccolo insieme di strumenti che richiede particolare attenzione.&lt;/p&gt;&lt;h2&gt;Trusted Ownership in azione: scenari reali&lt;/h2&gt;&lt;p&gt;&lt;b&gt;Ecco alcuni esempi operativi di come Ivanti Application Control e Trusted Ownership funzionano nella pratica.&lt;/b&gt;&lt;/p&gt;&lt;ol&gt;&lt;li&gt;Un'applicazione portatile viene copiata nel profilo utente. Ivanti la blocca perché è di proprietà dell'utente. AppLocker la blocca solo se esistono regole corrispondenti. Senza le regole di percorso o editore corrette, il comportamento può variare.&lt;/li&gt;&lt;li&gt;Un allegato email avvia uno script PowerShell dalla cartella Download. Ivanti lo nega a causa della proprietà utente. AppLocker dipende dalle regole sugli script e, in caso di eventi di blocco, forza PowerShell in Constrained Language Mode, che eseguirà comunque lo script.&lt;/li&gt;&lt;li&gt;Abuso di strumenti del sistema operativo come rundll32 o mshta. Entrambi i modelli richiedono un hardening di negazione mirato. Ivanti lo combina con il controllo della provenienza, che in genere riduce il numero di eccezioni necessarie. AppLocker si basa su set di negazione curati e richiede una regolazione periodica.&lt;/li&gt;&lt;li&gt;Un aggiornamento di un fornitore distribuisce nuovi file firmati. Ivanti consente l'aggiornamento quando arriva tramite il canale di deployment attendibile grazie a Trusted Ownership. AppLocker può gestire questo caso con regole basate sull'editore, ma il riutilizzo della firma su più prodotti o percorsi di installazione insoliti spesso comporta manutenzione aggiuntiva e una fiducia più ampia del previsto.&lt;/li&gt;&lt;li&gt;Un utente scarica un file JAR e tenta di eseguirlo con Java. Ivanti blocca il tentativo perché il JAR è introdotto dall'utente e non supera Trusted Ownership. Se necessario, gli amministratori possono consentire solo l'invocazione approvata esatta confrontando l'intera riga di comando. AppLocker non può confrontare gli argomenti e si basa su regole di editore, percorso o hash.&lt;/li&gt;&lt;/ol&gt;&lt;h2&gt;Conclusione&lt;/h2&gt;&lt;p&gt;Il controllo della provenienza sposta il controllo applicazioni da un problema di gestione a un modello di fiducia. Invece di considerare attendibili i singoli file, considera attendibile il processo con cui il software arriva su un sistema, rendendo la sicurezza sia scalabile sia praticabile.&lt;/p&gt;&lt;p&gt;Trusted Ownership si inserisce pienamente in questo approccio. Non è né una blocklist né un allowlist classico, ma un modello in cui il software che arriva tramite un processo IT controllato è consentito per impostazione predefinita, mentre tutto ciò che resta fuori da quel processo viene negato per impostazione predefinita. Applicando i controlli sull'origine e sulla proprietà anziché su file ad hoc, &lt;a href="https://www.ivanti.com/it/products/application-control"&gt;Ivanti Application Control&lt;/a&gt; e &lt;a href="https://www.ivanti.com/it/products/app-control-and-privileged-management"&gt;Ivanti Neurons for App Control&lt;/a&gt; si allineano molto meglio alle tecniche di attacco moderne e all'attuale distribuzione del software.&lt;/p&gt;&lt;p&gt;Se si continua a trattare il controllo applicazioni come un esercizio di gestione degli elenchi, l'onere amministrativo si farà sentire. Se lo si considera come un perimetro di fiducia, si ottengono scalabilità, sicurezza e praticabilità operativa.&lt;/p&gt;</description><pubDate>Wed, 25 Feb 2026 14:25:15 Z</pubDate></item><item><guid isPermaLink="false">90bb97d1-5bd6-43db-92d1-1a582223c2d1</guid><link>https://www.ivanti.com/it/blog/5-reasons-why-nis2-directive-preparation-should-start-now-part-two-implementation-takes-time</link><atom:author><atom:name>Patrick Kaak</atom:name><atom:uri>https://www.ivanti.com/it/blog/authors/patrick-kaak</atom:uri></atom:author><category>Sicurezza</category><title>5 motivi per cui la preparazione alla Direttiva NIS2 dovrebbe iniziare ora, parte due: l'implementazione richiede tempo</title><description>&lt;p&gt;In un precedente post del blog, ho analizzato le &lt;a href="https://www.ivanti.com/blog/5-reasons-why-nis2-directive-preparation-should-start-now-part-one-audits-take-time" rel="noopener" target="_blank"&gt;due principali aree da sottoporre ad audit&lt;/a&gt; prima che la Direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS2) aggiornata dell'Unione europea venga recepita come legge nell'ottobre 2024. Nello specifico, questi audit servirebbero a:&lt;/p&gt;

&lt;p&gt;Identificare fin da subito le lacune rispetto ai requisiti della Direttiva NIS2.&lt;/p&gt;

&lt;p&gt;Analizzare le attuali criticità di sicurezza della supply chain.&lt;/p&gt;

&lt;p&gt;Ora che abbiamo individuato queste criticità di sicurezza, dobbiamo risolverle prima che il tempo a disposizione scada nell'ottobre 2024.&lt;/p&gt;

&lt;p&gt;In questo post, quindi, vedremo come affrontare i punti più deboli della vostra sicurezza prima della scadenza della Direttiva NIS2, intervenendo su tre aree chiave:&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;&lt;a href="#one"&gt;Informare il management sulle lacune di cybersecurity&lt;/a&gt;&lt;/li&gt;
	&lt;li&gt;&lt;a href="#two"&gt;Implementare correttamente nuove misure di sicurezza organizzative e tecniche&lt;/a&gt;&lt;/li&gt;
	&lt;li&gt;&lt;a href="#three"&gt;Trovare il tempo per formare tutti i dipendenti&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;

&lt;h2&gt;1. Informare il management sulle lacune e ottenere il budget per colmarle&lt;/h2&gt;

&lt;p&gt;La Direttiva NIS2 &lt;a href="https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555#d1e3312-80-1" rel="noopener" target="_blank"&gt;impone obblighi significativi&lt;/a&gt; alle organizzazioni che rientrano nel suo ambito di applicazione, con possibili costi e risorse rilevanti. La Direttiva introduce inoltre multe e sanzioni pesanti in caso di non conformità, fino a un massimo di 10 milioni di euro o del 2% del fatturato annuo globale dell'organizzazione (&lt;a href="https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555#d1e4350-80-1" rel="noopener" target="_blank"&gt;Articolo 34&lt;/a&gt;).&lt;/p&gt;

&lt;p&gt;Inoltre, in determinate situazioni la nuova Direttiva può estendere la responsabilità dagli enti ai loro rappresentanti individuali. Quando vengono soddisfatte determinate condizioni, le persone in posizioni dirigenziali potrebbero anche essere sospese temporaneamente (&lt;a href="https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555#d1e3949-80-1" rel="noopener" target="_blank"&gt;Articolo 32-5b&lt;/a&gt;).&lt;/p&gt;

&lt;p&gt;Pertanto, rispettare la Direttiva NIS2 è una &lt;strong&gt;necessità legale&lt;/strong&gt; e una &lt;strong&gt;priorità strategica&lt;/strong&gt;.&lt;/p&gt;

&lt;p&gt;Per essere conformi, è necessario:&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;&lt;strong&gt;Informare il management &lt;/strong&gt;sulle implicazioni e sui vantaggi della Direttiva e convincerlo ad allocare budget e risorse sufficienti per implementare la conformità.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Presentare un business case chiaro&lt;/strong&gt; che illustri i rischi della non conformità, le opportunità della conformità e il ritorno sull'investimento.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Dimostrare in che modo la conformità&lt;/strong&gt; migliorerà reputazione, affidabilità, competitività e resilienza della vostra organizzazione.&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;Informare il management e ottenere un budget è un compito impegnativo, che richiede un'argomentazione persuasiva e basata su evidenze per dimostrare il valore della cybersecurity per la vostra organizzazione.&lt;/p&gt;

&lt;p&gt;Prima avvierete questo processo, più tempo avrete per ottenere il consenso e il supporto del management.&lt;/p&gt;

&lt;h3&gt;Possibili vantaggi di business case per la conformità alla NIS2&lt;/h3&gt;

&lt;p&gt;Tra i possibili vantaggi da evidenziare nel business case rientrano:&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;&lt;strong&gt;Ridurre i costi operativi &lt;/strong&gt;prevenendo o minimizzando le perdite dovute agli attacchi informatici, come downtime, violazioni dei dati, pagamenti di riscatti, cause legali e così via.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Aumentare i ricavi&lt;/strong&gt; attirando o fidelizzando clienti che attribuiscono valore a sicurezza, privacy, qualità e altri aspetti.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Migliorare l'efficienza&lt;/strong&gt; semplificando i processi, migliorando le prestazioni, riducendo gli errori e così via.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Innovare&lt;/strong&gt; adottando nuove tecnologie, sviluppando nuovi prodotti o servizi, creando nuovi mercati e altro ancora.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Rispettare altre normative o standard di cybersecurity oltre alla NIS2&lt;/strong&gt; – come &lt;a href="https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_en" rel="noopener" target="_blank"&gt;GDPR&lt;/a&gt;, &lt;a href="https://www.iso.org/standard/27001" rel="noopener" target="_blank"&gt;ISO 27001&lt;/a&gt;, &lt;a href="https://listings.pcisecuritystandards.org/documents/PCI_DSS-QRG-v3_2_1.pdf" rel="noopener" target="_blank"&gt;PCI DSS&lt;/a&gt; e altri – poiché i framework globali spesso presentano un'elevata sovrapposizione con i requisiti di conformità della NIS2.&lt;/li&gt;
&lt;/ul&gt;

&lt;h3&gt;Potenziali fonti di informazioni per giustificare il business case di conformità alla NIS2&lt;/h3&gt;

&lt;p&gt;Alcune fonti che potete utilizzare a supporto del business case sono:&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;&lt;strong&gt;Statistiche o dati di fatto&lt;/strong&gt; che mostrino la diffusione, l'impatto o il costo degli attacchi informatici nel vostro settore o nella vostra area geografica.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Casi di studio o esempi&lt;/strong&gt; che illustrino in che modo altre organizzazioni hanno tratto vantaggio dalla conformità alla Direttiva NIS2 o a normative simili. Ad esempio, il report Enisa NIS Investments 2022 mostra che, per il 62% delle organizzazioni che hanno implementato la precedente Direttiva NIS, tali implementazioni le hanno aiutate a rilevare gli incidenti di sicurezza; per il 21%, le implementazioni hanno supportato il ripristino a seguito di incidenti di sicurezza.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Testimonianze o feedback&lt;/strong&gt; di clienti, partner, autorità di regolamentazione o esperti che sostengono o raccomandano la conformità alla Direttiva NIS2 o a normative simili.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Benchmark o indicatori&lt;/strong&gt; che evidenzino le vostre prestazioni o i vostri progressi attuali o previsti in materia di cybersecurity rispetto alla Direttiva NIS2 o ai concorrenti.&lt;/li&gt;
	&lt;li&gt;&lt;a href="https://www.ivanti.com/it/resources/v/doc/ivi/2702/fa749d5d96a9" target="_blank"&gt;Cyberstrategy Tool Kit 2023 di Ivanti per ottenere il consenso interno&lt;/a&gt; è anche un'ottima risorsa che spiega tempi di messa in funzione e costi, in che modo una soluzione aiuta a difendersi da determinati tipi di attacchi informatici e come reagire alle obiezioni più comuni e superarle.&lt;/li&gt;
&lt;/ul&gt;

&lt;h3&gt;Vantaggi aziendali generali della conformità alla Direttiva NIS2&lt;/h3&gt;

&lt;p&gt;Tra i vantaggi della conformità alla Direttiva NIS2 figurano:&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;&lt;strong&gt;Ridurre i costi operativi&lt;/strong&gt; prevenendo o minimizzando le perdite dovute agli attacchi informatici, come downtime, violazioni dei dati, pagamenti di riscatti, cause legali e così via. &lt;a href="https://www.ibm.com/reports/data-breach" rel="noopener" target="_blank"&gt;Secondo un report di IBM&lt;/a&gt;, nel 2022 il costo medio di una violazione dei dati è stato di 4,82 milioni di dollari USA per le organizzazioni di infrastrutture critiche e il tempo medio per identificare e contenere una violazione è stato di 277 giorni. Se adottate misure per conformarvi alla Direttiva NIS2, il tempo medio necessario per identificare e contenere una violazione sarà molto più breve e i costi dell'attacco saranno inferiori.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Aumentare i ricavi&lt;/strong&gt; attirando o fidelizzando clienti che attribuiscono valore a sicurezza, privacy, qualità e fattori simili. Secondo &lt;a href="https://www.fisglobal.com/-/media/fisglobal/worldpay/docs/insights/consumer-intelligence-series-protectme.pdf" rel="noopener" target="_blank"&gt;un sondaggio di PwC&lt;/a&gt;, l'87% dei consumatori afferma che si rivolgerebbe altrove se non si fidasse delle pratiche di gestione dei dati di un'azienda, e il 71% afferma che smetterebbe di utilizzare i prodotti o servizi di un'azienda se scoprisse che questa condivide i suoi dati senza autorizzazione, eventualità che potrebbe verificarsi in caso di fuga di dati.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Migliorare l'efficienza&lt;/strong&gt; semplificando i processi, migliorando le prestazioni, riducendo gli errori e così via. &lt;a href="https://www.accenture.com/us-en/insights/security/state-cybersecurity" rel="noopener" target="_blank"&gt;Accenture&lt;/a&gt; ha rilevato che le aziende che adottano tecnologie di sicurezza avanzate possono ridurre il costo della criminalità informatica fino al 48%.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Rispettare altre normative o standard&lt;/strong&gt; che richiedono misure di cybersecurity, come GDPR, ISO 27001, PCI DSS o altri. &lt;a href="https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/dpbs-2019.pdf" rel="noopener" target="_blank"&gt;Cisco&lt;/a&gt; sottolinea che il 97% delle organizzazioni conformi al GDPR rileva benefici quali l'acquisizione di un vantaggio competitivo, il raggiungimento dell'efficienza operativa e la riduzione dei ritardi nelle vendite. Risultati simili sono probabilmente ottenibili rispettando la NIS2.&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;Per quanto riguarda il budget, la proposta di direttiva della Commissione europea (&lt;a href="https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12475-Cybersecurity-review-of-EU-rules-on-the-security-of-network-and-information-systems_en" rel="noopener" target="_blank"&gt;Allegato 7 - 1.4.3&lt;/a&gt;) indica che, per le aziende che rientrano nell'ambito del framework NIS2, si stima un incremento massimo del 22% della spesa attuale per la sicurezza ICT nei primi anni successivi all'introduzione del framework NIS2.&lt;/p&gt;

&lt;p&gt;Tuttavia, la proposta afferma anche che questo aumento medio della spesa per la sicurezza ICT genererebbe un &lt;strong&gt;beneficio proporzionato &lt;/strong&gt;da tali investimenti, soprattutto grazie a una notevole riduzione del costo degli incidenti di cybersecurity.&lt;/p&gt;

&lt;h2 id="two"&gt;2. Implementare correttamente nuove misure di sicurezza organizzative e tecniche&lt;/h2&gt;

&lt;p&gt;Dopo aver analizzato le lacune e ottenuto un budget, è il momento di colmarle. La Direttiva NIS2 richiede alle aziende di implementare misure organizzative e tecniche adeguate per gestire i rischi di cybersecurity e garantire un elevato livello di sicurezza nelle reti e nei sistemi informativi.&lt;/p&gt;

&lt;p&gt;Queste misure includono:&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;&lt;strong&gt;Adottare policy e procedure&lt;/strong&gt; per la gestione del rischio, la risposta agli incidenti, la continuità operativa, la protezione dei dati e così via.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Definire ruoli e responsabilità&lt;/strong&gt; per governance, supervisione, coordinamento e altre aree della cybersecurity.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Fornire programmi di formazione e sensibilizzazione&lt;/strong&gt; per personale, management, clienti e così via.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Implementare l'igiene informatica di base&lt;/strong&gt; come crittografia, autenticazione (MFA), firewall, software antivirus, patching, accesso zero trust e così via.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Eseguire&lt;/strong&gt; test, monitoraggi, audit e altre misure con regolarità.&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;Implementare queste misure organizzative e tecniche non è un'attività una tantum né statica. Richiede &lt;strong&gt;l'istituzione di un processo continuo e dinamico&lt;/strong&gt; capace di adattarsi all'evoluzione di minacce, tecnologie, normative ed esigenze aziendali.&lt;/p&gt;

&lt;p&gt;Per questo processo vale quindi lo stesso consiglio già visto per gli altri punti: prima inizierete, più tempo avrete per implementare le misure necessarie e garantirne efficacia ed efficienza.&lt;/p&gt;

&lt;p&gt;Il mio consiglio è iniziare l'implementazione almeno a gennaio 2024, così da essere pronti prima delle ferie estive.&lt;/p&gt;

&lt;h3&gt;Prossimi passi per le implementazioni della Direttiva NIS2&lt;/h3&gt;

&lt;p&gt;Alcuni possibili passaggi per implementare misure organizzative e tecniche sono:&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;&lt;strong&gt;Sviluppare e implementare &lt;/strong&gt;&lt;strong&gt;un processo di gestione basato sul rischio&lt;/strong&gt; che definisca obiettivi, ambito, ruoli, responsabilità, risorse, tempistiche e metriche per gestire i rischi di cybersecurity.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Implementare una policy di sicurezza&lt;/strong&gt; che stabilisca principi, linee guida, standard e procedure per garantire la sicurezza delle reti e dei sistemi informativi.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Condurre valutazioni del rischio&lt;/strong&gt; per identificare asset, minacce, vulnerabilità, impatti e probabilità di attacchi informatici; e prioritizzare le azioni in base alla propensione e alla tolleranza al rischio.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Implementare controlli di sicurezza&lt;/strong&gt; che proteggano reti e sistemi informativi da accessi, utilizzi, divulgazioni, modifiche o distruzioni non autorizzati. Questi controlli possono essere classificati in tre categorie: preventivi (ad es. crittografia); investigativi (ad es. monitoraggio) e correttivi (ad es. backup).&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Implementare un &lt;/strong&gt;&lt;strong&gt;piano di risposta agli incidenti&lt;/strong&gt; che definisca processi, ruoli, responsabilità, risorse, strumenti e canali di comunicazione per rispondere agli incidenti informatici in modo efficace ed efficiente.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Implementare un piano di continuità operativa&lt;/strong&gt; che definisca processi, ruoli, responsabilità, risorse, strumenti e canali di comunicazione per mantenere o ripristinare i processi aziendali critici durante un'interruzione o un disastro legato alla cybersecurity.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Implementare un piano di revisione e miglioramento&lt;/strong&gt; che definisca processi, ruoli, responsabilità, risorse, strumenti e canali di comunicazione per valutare, segnalare e migliorare regolarmente le misure di cybersecurity.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Implementare i controlli tecnici&lt;/strong&gt; per la gestione degli asset e &lt;a href="https://www.ivanti.com/blog/cyber-hygiene-definition-and-best-practices" rel="noopener" target="_blank"&gt;&lt;strong&gt;l'igiene informatica di base&lt;/strong&gt;&lt;/a&gt;.&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;Il riferimento della Direttiva all'“igiene informatica di base” è piuttosto vago nell'&lt;a href="https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555#d1e3337-80-1" rel="noopener" target="_blank"&gt;Articolo 21&lt;/a&gt;, quindi approfondiremo l'argomento in un altro post del blog. Per ora, considerate misure di sicurezza di base come:&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;MFA.&lt;/li&gt;
	&lt;li&gt;Applicare patch al sistema operativo e alle applicazioni il più rapidamente possibile.&lt;/li&gt;
	&lt;li&gt;Proteggere le connessioni di rete sulle reti pubbliche.&lt;/li&gt;
	&lt;li&gt;Crittografare tutte le unità, in particolare quelle rimovibili.&lt;/li&gt;
	&lt;li&gt;Gestire i privilegi e formare tutti i dipendenti.&lt;/li&gt;
	&lt;li&gt;Iscriversi a canali che forniscono informazioni sulle patch più recenti e sulle priorità, come i webinar Patch Tuesday di Ivanti.&lt;/li&gt;
&lt;/ul&gt;

&lt;h2 id="three"&gt;3. Risolvere il punto più debole: trovare il tempo per formare ogni dipendente&lt;/h2&gt;

&lt;p&gt;La Direttiva NIS2 riconosce che i fattori umani sono cruciali per la cybersecurity e che i dipendenti sono spesso &lt;strong&gt;l'anello più debole&lt;/strong&gt; — oltre che la prima linea di difesa — nella prevenzione o nel rilevamento degli attacchi informatici.&lt;/p&gt;

&lt;p&gt;La Direttiva richiede alle organizzazioni di &lt;strong&gt;fornire programmi adeguati di formazione e sensibilizzazione&lt;/strong&gt; ai dipendenti, agli utenti dei servizi digitali e ad altri stakeholder sulle tematiche di cybersecurity.&lt;/p&gt;

&lt;p&gt;Formare tutti i dipendenti non è un'attività sporadica né facoltativa. Richiede un programma regolare e completo che copra temi quali:&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;Concetti e terminologia di base della cybersecurity.&lt;/li&gt;
	&lt;li&gt;Minacce informatiche e vettori di attacco comuni.&lt;/li&gt;
	&lt;li&gt;&lt;a href="https://www.ivanti.com/blog/cyber-hygiene-definition-and-best-practices" rel="noopener" target="_blank"&gt;Best practice e consigli per l'igiene informatica&lt;/a&gt;.&lt;/li&gt;
	&lt;li&gt;Policy e procedure di cybersecurity, rese pertinenti e semplificate per gli utenti finali.&lt;/li&gt;
	&lt;li&gt;Ruolo e responsabilità di ogni utente per la cybersecurity dell'organizzazione.&lt;/li&gt;
	&lt;li&gt;Come segnalare gli incidenti e rispondere.&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;È importante notare che questa formazione &lt;strong&gt;deve essere ricevuta da tutti&lt;/strong&gt; all'interno dell'azienda, non solo dal personale IT. Anche il management dovrebbe seguire questa formazione.&lt;/p&gt;

&lt;p&gt;Un sondaggio condotto per Ivanti mostra che molti dipendenti non sono nemmeno consapevoli della formazione obbligatoria sulla cybersecurity. Solo il 27% si sente “molto preparato” a riconoscere e segnalare minacce come malware e phishing sul lavoro. Il 6% si sente “molto preparato” a riconoscere e segnalare minacce come malware e phishing sul lavoro.&lt;/p&gt;

&lt;p&gt;Nel &lt;a href="https://www.enisa.europa.eu/publications/nis-investments-2022" rel="noopener" target="_blank"&gt;report NIS Investments 2022 di Enisa&lt;/a&gt;, Enisa afferma che il 40% degli OES (Operatori di Servizi Essenziali) intervistati non dispone di un programma di sensibilizzazione alla sicurezza per il personale non IT.&lt;/p&gt;

&lt;p&gt;È importante monitorare chi non è ancora stato formato e intervenire di conseguenza. Formare tutti i dipendenti non è utile solo ai fini della conformità, ma anche per produttività, qualità, innovazione e soddisfazione dei clienti.&lt;/p&gt;

&lt;h2&gt;Il miglior consiglio che possiamo dare sulla NIS2&lt;/h2&gt;

&lt;p&gt;La Direttiva NIS2 è una normativa di riferimento che mira a rafforzare la cybersecurity dei settori critici nell'UE. Impone obblighi significativi alle organizzazioni che rientrano nel suo ambito di applicazione, insieme a multe e sanzioni pesanti in caso di non conformità.&lt;/p&gt;

&lt;p&gt;Rispettare la Direttiva NIS2 è un compito complesso. Richiede &lt;strong&gt;un approccio proattivo e completo&lt;/strong&gt; che coinvolga molteplici fasi, stakeholder e risorse.&lt;/p&gt;

&lt;p&gt;Prima inizierete a prepararvi, più sarete pronti quando entrerà in vigore nell'ottobre 2024.&lt;/p&gt;

&lt;p&gt;Il miglior consiglio che possiamo offrire? &lt;strong&gt;Non aspettate fino ad allora: iniziate&lt;/strong&gt; subito a prepararvi per la Direttiva NIS2!&lt;/p&gt;

&lt;p&gt;&lt;/p&gt;
</description><pubDate>Mon, 28 Aug 2023 17:43:02 Z</pubDate></item><item><guid isPermaLink="false">82e0ebe2-5e47-482d-9d65-d168ec6200e3</guid><link>https://www.ivanti.com/it/blog/5-reasons-why-nis2-directive-preparation-should-start-now-part-one-audits-take-time</link><atom:author><atom:name>Patrick Kaak</atom:name><atom:uri>https://www.ivanti.com/it/blog/authors/patrick-kaak</atom:uri></atom:author><category>Sicurezza</category><title>5 motivi per cui la preparazione alla Direttiva NIS2 dovrebbe iniziare subito, parte 1: gli audit richiedono tempo</title><description>&lt;p&gt;Probabilmente hai già sentito parlare della Direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS2) aggiornata dall'Unione europea. Questa direttiva sarà recepita nella legislazione nazionale entro ottobre 2024. È importante farsi trovare pronti, perché la mancata conformità può comportare sanzioni e ammende elevate. &lt;/p&gt;&lt;p&gt;Potresti però pensare che ottobre 2024 sia ancora lontano. Meglio non sottovalutare la scadenza. &lt;/p&gt;&lt;p&gt;Dopotutto, come puoi sapere se hai abbastanza tempo per prepararti se non sai quanto sei già conforme alle normative previste?&lt;/p&gt;&lt;p&gt;Per questo, da qui a ottobre 2024, devi sottoporre ad audit il tuo attuale stato di cybersicurezza. In particolare:&lt;/p&gt;&lt;ol&gt;&lt;li&gt;&lt;a href="#one"&gt;Individuare fin da subito le lacune rispetto ai requisiti della Direttiva NIS2&lt;/a&gt;&lt;/li&gt;&lt;li&gt;&lt;a href="#two"&gt;Esaminare le attuali carenze di sicurezza della catena di fornitura&lt;/a&gt;&lt;/li&gt;&lt;/ol&gt;&lt;p&gt;Nella seconda parte di questa serie analizzerò &lt;em&gt;le &lt;a href="https://www.ivanti.com/blog/5-reasons-why-nis2-directive-preparation-should-start-now-part-two-implementation-takes-time" target="_blank" rel="noopener"&gt;tre aree su cui intervenire per colmare le lacune emerse dagli audit&lt;/a&gt;&lt;/em&gt; — incluso come:&lt;/p&gt;&lt;ol&gt;&lt;li&gt;Informare il management sulle lacune di cybersicurezza.&lt;/li&gt;&lt;li&gt;Implementare correttamente nuove misure di sicurezza organizzative e tecniche.&lt;/li&gt;&lt;li&gt;Trovare il tempo per formare tutti i dipendenti.&lt;/li&gt;&lt;/ol&gt;&lt;h2 id="one"&gt;1. Individuare fin da subito le lacune rispetto ai requisiti della Direttiva NIS2&lt;/h2&gt;&lt;p&gt;La &lt;a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555" rel="noopener" target="_blank"&gt;Direttiva NIS2&lt;/a&gt; è la normativa dell'UE in materia di cybersicurezza che introduce misure giuridiche per innalzare il livello complessivo di cybersicurezza nell'Unione. Modernizza il quadro normativo esistente per adeguarlo all'aumento della digitalizzazione e a un panorama delle minacce informatiche in continua evoluzione. &lt;/p&gt;&lt;p&gt;La direttiva &lt;a href="https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333" rel="noopener" target="_blank"&gt;estende l'ambito di applicazione delle norme di cybersicurezza&lt;/a&gt; a nuovi settori e soggetti, migliorando la resilienza e le capacità di risposta agli incidenti di enti pubblici e privati, autorità competenti e dell'intera UE. &lt;/p&gt;&lt;p&gt;La Direttiva NIS2 definisce misure più incisive per rafforzare la resilienza contro gli attacchi informatici, ridurre al minimo le vulnerabilità e migliorare la difesa informatica. &lt;/p&gt;&lt;p&gt;Per conformarti alla Direttiva NIS2, devi:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Valutare &lt;/strong&gt;la tua postura di cybersicurezza e individuare eventuali lacune o punti deboli che potrebbero esporti a rischi informatici. &lt;/li&gt;&lt;li&gt;&lt;strong&gt;Mappare&lt;/strong&gt; le policy, le procedure e i controlli esistenti rispetto ai requisiti della direttiva e capire dove migliorarli o aggiornarli. &lt;/li&gt;&lt;li&gt;&lt;strong&gt;Valutare&lt;/strong&gt; le capacità di risposta agli incidenti e i meccanismi di reporting, assicurandoti che siano allineati agli standard della direttiva. &lt;/li&gt;&lt;/ul&gt;&lt;p&gt;Uno dei principali problemi della NIS2 è che indica cosa dovresti fare, ma non come farlo. Fortunatamente, diversi framework possono aiutarti a definire il come, tra cui:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;a href="https://www.nist.gov/cyberframework" rel="noopener" target="_blank"&gt;NIST CSF (Cybersecurity Framework)&lt;/a&gt;&lt;/li&gt;&lt;li&gt;Le norme &lt;a href="https://www.iso.org/standard/27001" rel="noopener" target="_blank"&gt;ISO27001&lt;/a&gt; e &lt;a href="https://www.iso.org/standard/75652.html" rel="noopener" target="_blank"&gt;ISO27002&lt;/a&gt;&lt;/li&gt;&lt;li&gt;&lt;a href="https://www.cisecurity.org/controls" rel="noopener" target="_blank"&gt;CIS Controls&lt;/a&gt;&lt;/li&gt;&lt;li&gt;&lt;a href="https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards" rel="noopener" target="_blank"&gt;IEC 62443&lt;/a&gt;&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;In Belgio, il &lt;a href="https://ccb.belgium.be/en/cyberfundamentals-framework" rel="noopener" target="_blank"&gt;CCB ha creato un Cyberfundamentals Framework&lt;/a&gt; basato su più framework, con riferimenti a come le diverse parti dei framework si collegano al GDPR e alla NIS2.&lt;/p&gt;&lt;p&gt;Dopo aver selezionato il framework, &lt;strong&gt;devi individuare le lacune&lt;/strong&gt; rispetto al framework scelto e ai requisiti della direttiva. L'individuazione delle lacune non è un'attività semplice né rapida: richiede un'analisi approfondita e sistematica della maturità e del livello di preparazione della cybersicurezza della tua organizzazione. &lt;/p&gt;&lt;p&gt;Non devi solo verificare la strategia e le policy di cybersicurezza, ma anche condurre un'analisi dei rischi per individuare gli asset più critici e i rischi informatici associati, quindi valutare controlli di sicurezza che riducano il punteggio di rischio di tali asset essenziali. &lt;/p&gt;&lt;p&gt;&lt;strong&gt;Prima inizi questo processo, più tempo avrai&lt;/strong&gt; per ottenere il budget necessario a risolvere eventuali problemi e implementare le modifiche richieste. &lt;/p&gt;&lt;h3&gt;Possibili lacune dell'ambiente NIS2&lt;/h3&gt;&lt;p&gt;Tra le possibili lacune che potresti riscontrare nel tuo ambiente rientrano:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Assenza di una strategia o policy di cybersicurezza completa&lt;/strong&gt; che copra tutti gli aspetti della gestione del rischio, della risposta agli incidenti, della continuità operativa, della protezione dei dati, ecc.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Assenza di un team o di una funzione dedicata alla cybersicurezza&lt;/strong&gt; che supervisioni, coordini e monitori tutte le attività e iniziative di cybersicurezza nell'intera organizzazione.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Assenza di controlli o misure di sicurezza adeguati&lt;/strong&gt; per proteggere le reti e i sistemi informativi da accessi, utilizzi, divulgazioni, modifiche o distruzioni non autorizzati.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Assenza di test o audit regolari&lt;/strong&gt; dei controlli o delle misure di sicurezza, per garantirne l'efficacia e la conformità ai requisiti della direttiva.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Assenza di programmi adeguati di formazione o sensibilizzazione&lt;/strong&gt; per il personale, il management, altri dipendenti o altri stakeholder in merito a temi e best practice di cybersicurezza.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Assenza di canali chiari di comunicazione o reporting&lt;/strong&gt; per notificare alle autorità o alle parti pertinenti eventuali incidenti o violazioni che interessano i tuoi servizi.&lt;/li&gt;&lt;/ul&gt;&lt;h3&gt;Potenziali soluzioni di sicurezza per il tuo ambiente per conformarti alla NIS2&lt;/h3&gt;&lt;p&gt;Per individuare e colmare queste lacune di sicurezza, puoi:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Eseguire framework o modelli di gap analysis&lt;/strong&gt; che ti aiutino a confrontare lo stato attuale con quello desiderato e a individuare le aree di miglioramento.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Implementare modelli o standard di maturità della cybersicurezza&lt;/strong&gt; che ti aiutino a misurare il livello di prestazioni e i progressi in ambito cybersicurezza.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Condurre una valutazione del rischio&lt;/strong&gt; per identificare asset, minacce, vulnerabilità, impatti e probabilità di attacchi informatici.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Richiedere audit o valutazioni esterne&lt;/strong&gt; che ti aiutino a convalidare il tuo stato di conformità e a individuare eventuali debolezze o carenze.&lt;/li&gt;&lt;/ul&gt;&lt;h2 id="two"&gt;2. Esaminare le attuali carenze di sicurezza della catena di fornitura con tempo sufficiente per coordinare le azioni con i fornitori&lt;/h2&gt;&lt;p&gt;La Direttiva NIS2 introduce inoltre nuove disposizioni sulla sicurezza della catena di fornitura (&lt;a href="https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555#d1e40-80-1" rel="noopener" target="_blank"&gt;capitolo 0, punti 54 e 56&lt;/a&gt;), riconoscendo che le minacce informatiche possono provenire da fornitori terzi o subappaltatori. &lt;/p&gt;&lt;p&gt;La direttiva richiede alle organizzazioni di assicurarsi che i fornitori adottino standard e pratiche di sicurezza adeguati (&lt;a href="https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555#d1e3337-80-1" rel="noopener" target="_blank"&gt;articolo 21-2d&lt;/a&gt;) e di monitorarne regolarmente le prestazioni e la conformità (&lt;a href="https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555#d1e3337-80-1" rel="noopener" target="_blank"&gt;articolo 21–3&lt;/a&gt;). &lt;/p&gt;&lt;p&gt;E non senza motivo. &lt;strong&gt;Gli attacchi alla catena di fornitura sono in aumento&lt;/strong&gt;:&lt;/p&gt;&lt;p&gt;In una &lt;a href="https://www.blackberry.com/us/en/company/newsroom/press-releases/2022/blackberry-commissioned-research-reveals-four-in-five-software-supply-chains-exposed-to-cyberattack-in-the-last-12-months" rel="noopener" target="_blank"&gt;ricerca BlackBerry&lt;/a&gt; condotta nel 2022 su oltre 1.500 decision maker IT, quattro intervistati su cinque hanno dichiarato di essere stati informati di un attacco o di una vulnerabilità nella propria catena di fornitura nel corso dell'anno. Il 77% ha affermato di aver scoperto partecipanti nascosti nella propria supply chain software di cui in precedenza non era a conoscenza. &lt;/p&gt;&lt;p&gt;&lt;a href="https://www.accenture.com/_acnmedia/PDF-116/Accenture-Cybersecurity-Report-2020.pd" rel="noopener" target="_blank"&gt;Una ricerca Accenture&lt;/a&gt; rivela inoltre che il 40% delle violazioni della sicurezza è indiretto e avviene attraverso la catena di fornitura.&lt;/p&gt;&lt;p&gt;Pertanto, &lt;strong&gt;mettere in sicurezza la catena di fornitura è essenziale&lt;/strong&gt; per garantire continuità operativa, resilienza, reputazione e fiducia.&lt;/p&gt;&lt;p&gt;Tuttavia, nel &lt;a href="/it/resources/v/doc/ivi/2732/7b4205775465" target="_blank"&gt;&lt;em&gt;Press Reset: A 2023 Cybersecurity Status Report&lt;/em&gt;&lt;/a&gt; di Ivanti, abbiamo rilevato che solo il 42% degli oltre 1.300 leader executive e professionisti della sicurezza intervistati si dichiara pronto a proteggersi dalle minacce alla catena di fornitura, anche se il 46% le considera una minaccia di alto livello. &lt;/p&gt;&lt;p&gt;Le minacce alla catena di fornitura non arrivano solo tramite attacchi a fornitori di soluzioni come &lt;a href="https://www.theverge.com/2022/3/22/22990637/okta-breach-single-sign-on-lapsus-hacker-group" rel="noopener" target="_blank"&gt;Okta&lt;/a&gt;, &lt;a href="https://techcrunch.com/2021/07/05/kaseya-hack-flood-ransomware/" rel="noopener" target="_blank"&gt;Kaseya&lt;/a&gt; o &lt;a href="https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know" rel="noopener" target="_blank"&gt;SolarWinds&lt;/a&gt;, ma anche tramite partner direttamente connessi alla tua infrastruttura IT o in grado di accedervi. &lt;/p&gt;&lt;p&gt;E non dimenticare gli attacchi ai tuoi fornitori di risorse, che potrebbero bloccarli al punto da impedire loro di consegnare determinate risorse necessarie per le tue attività. Devi essere preparato e &lt;strong&gt;disporre di fornitori di backup&lt;/strong&gt; in grado di fornire quelle risorse se il fornitore principale è fuori servizio a causa di un attacco informatico o per altri motivi.&lt;/p&gt;&lt;p&gt;La sicurezza della catena di fornitura è un tema complesso e impegnativo, che coinvolge molteplici attori, dipendenze e interconnessioni, e non può essere realizzata dall'oggi al domani. &lt;/p&gt;&lt;p&gt;Devi:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Stabilire canali di comunicazione chiari e trasparenti&lt;/strong&gt; con i fornitori e definire aspettative e obblighi in materia di cybersicurezza. &lt;/li&gt;&lt;li&gt;&lt;strong&gt;Condurre audit e valutazioni regolari&lt;/strong&gt; delle pratiche di sicurezza dei fornitori e verificare che soddisfino i requisiti della direttiva. &lt;/li&gt;&lt;li&gt;&lt;strong&gt;Stabilire piani di emergenza e soluzioni di backup&lt;/strong&gt; in caso di interruzione o compromissione della catena di fornitura.&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;Inoltre, devi iniziare a coinvolgere i fornitori &lt;strong&gt;il prima possibile&lt;/strong&gt; e collaborare con loro per garantire che la catena di fornitura sia sicura e resiliente. &lt;/p&gt;&lt;h3&gt;Sfide di sicurezza della catena di fornitura per la NIS2&lt;/h3&gt;&lt;p&gt;Tra le possibili sfide che potresti affrontare nella messa in sicurezza della catena di fornitura rientrano:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Mancanza di visibilità o trasparenza&lt;/strong&gt; sulle pratiche, le policy o gli incidenti di sicurezza dei fornitori.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Mancanza di fiducia o collaborazione&lt;/strong&gt; tra i fornitori o tra te e i tuoi fornitori.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Mancanza di coerenza o allineamento&lt;/strong&gt; negli standard, nei requisiti o nelle aspettative di sicurezza lungo tutta la catena di fornitura.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Mancanza di risorse o capacità&lt;/strong&gt; per monitorare, sottoporre ad audit o verificare le prestazioni o la conformità di sicurezza dei fornitori.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Mancanza di piani di emergenza o soluzioni di backup&lt;/strong&gt; per mitigare o superare eventuali interruzioni o compromissioni della catena di fornitura.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Mancanza di informazioni&lt;/strong&gt; su ciò che ti aspetti dalle pratiche di sicurezza dei tuoi fornitori.&lt;/li&gt;&lt;/ul&gt;&lt;h3&gt;Soluzioni per la sicurezza della catena di fornitura per la NIS2&lt;/h3&gt;&lt;p&gt;Per superare queste sfide di sicurezza della catena di fornitura, puoi:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Stabilire contratti o accordi chiari&lt;/strong&gt; con i fornitori, specificando obblighi, responsabilità e responsabilità legali in materia di sicurezza.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Sviluppare criteri, linee guida o framework di sicurezza comuni&lt;/strong&gt; applicabili a tutti i fornitori della catena di fornitura e allineati ai requisiti della direttiva. &lt;/li&gt;&lt;li&gt;&lt;strong&gt;Implementare controlli, misure o strumenti di sicurezza&lt;/strong&gt; che consentano di tracciare, monitorare o verificare le attività di sicurezza, gli incidenti o lo stato di conformità dei fornitori.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Creare team, comitati o forum congiunti sulla sicurezza&lt;/strong&gt; che facilitino la condivisione di informazioni, la collaborazione e il coordinamento tra i fornitori o tra te e i tuoi fornitori.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Costruire fiducia e comprensione reciproca&lt;/strong&gt; con i fornitori attraverso comunicazioni regolari, feedback e riconoscimento.&lt;/li&gt;&lt;/ul&gt;&lt;h2&gt;Una volta completati gli audit per la Direttiva NIS2, qual è il passo successivo?&lt;/h2&gt;&lt;p&gt;Ora che hai determinato la tua posizione attuale rispetto alla Direttiva NIS2, è il momento di implementare cambiamenti critici per garantire la conformità entro ottobre 2024. Sono certo che colmare le lacune individuate dagli audit richiederà tutto il tempo a disposizione, e probabilmente anche di più, prima che le normative vengano ufficialmente implementate nel tuo Paese.&lt;/p&gt;&lt;p&gt;Ma come affrontare queste lacune in modo sistematico e tempestivo? Nel prossimo post del blog parleremo &lt;em&gt;delle &lt;a href="https://www.ivanti.com/blog/5-reasons-why-nis2-directive-preparation-should-start-now-part-two-implementation-takes-time" target="_blank" rel="noopener"&gt;tre aree di cambiamento in ambito sicurezza necessarie per la NIS2&lt;/a&gt;&lt;/em&gt;, esaminando come:&lt;/p&gt;&lt;ol&gt;&lt;li&gt;Informare il management sulle lacune di cybersicurezza.&lt;/li&gt;&lt;li&gt;Implementare correttamente nuove misure di sicurezza organizzative e tecniche.&lt;/li&gt;&lt;li&gt;Trovare il tempo per formare tutti i dipendenti.&lt;/li&gt;&lt;/ol&gt;</description><pubDate>Mon, 28 Aug 2023 17:14:55 Z</pubDate></item></channel></rss>