Consulenza per l'applicazione della Direttiva NIS 2.

Adempimento Requisiti Direttiva NIS 2

Se lavori su infrastrutture critiche, scopri i requisiti di conformità

Le Direttive NIS e NIS 2 nascono per incentivare gli Stati dell’UE ad adottare strategie nazionali in materia di cybersecurity in risposta agli incidenti di sicurezza che colpiscono i servizi essenziali.

La Direttiva NIS 2, con entrata in vigore prevista al 18 ottobre 2024 come evoluzione della Direttiva sulla Network and Information Security del 2018, suddivide i settori critici in due diverse categorie di rilevanza:

  • Settori essenziali, che comprendono le organizzazioni che superano per dimensione la media impresa e forniscono servizi nei settori indicati nell’Allegato I ossia energia (elettrica, petrolio, gas), trasporto (aereo, ferroviario, via acqua, via strada), settore sanitario, acqua potabile, acque reflue, Pubblica Amministrazione, spazio, infrastrutture digitali (fra cui servizi di cloud computing, DNS, servizi di content delivery network)
  • Settori importanti, medie imprese che forniscono servizi nei settori indicati nell’Allegato II, categoria che non era presente nella prima Direttiva e che si aggiunge agli obblighi di legge nella seconda revisione

 

Rientrano nei servizi essenziali:

  • Energia (elettrica, petrolio, gas)
  • Trasporto (aereo, ferroviario, via acqua, via strada)
  • Settore sanitario
  • Acqua potabile
  • Acque reflue
  • Pubblica Amministrazione
  • Spazio
  • Infrastrutture digitali (fra cui servizi di cloud computing, DNS, servizi di content delivery network)

Rientrano nei servizi importanti:

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Fabbricazione, produzione e distribuzione di sostanze chimiche
  • Produzione, trasformazione e distribuzione di alimenti
  • Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro
  • Fabbricazione di computer e prodotti di elettronica e ottica
  • Fabbricazione di apparecchiature elettriche
  • Fabbricazione di macchinari e apparecchiature n.c.a.
  • Fabbricazione di autoveicoli, rimorchi e semirimorchi
  • Fabbricazione di altri mezzi di trasporto
  • Servizi digitali, come motori di ricerca e piattaforme di social network

Ognuno dei soggetti interessati è tenuto ad applicare le misure elencate nell’Art. 21, comma 2, fra cui, ad esempio, l’adozione di politiche di analisi dei rischi e di sicurezza dei sistemi, policy per la gestione degli incidenti, pratiche di igiene informatica di base e formazione.

 

Cosa possiamo fare per voi se il vostro settore di appartenenza è considerato critico:

All’interno del settore, e in attesa del recepimento della Direttiva NIS 2, è necessario applicare i codici ATECO. Convenuto che il vostro settore rientra in una delle categorie elencate dagli All. I e II della Direttiva, il nostro servizio di consulenza prevede un’attività di audit iniziale, per evidenziare i gap da colmare rispetto agli adempimenti richiesti in ambito NIS 2 (art. 21).

 

La GAP Analysis:

  • Scopo di analizzare lo stato delle misure richieste dall’art. 21, il livello di maturità e di copertura, in riferimento al perimetro cibernetico da proteggere
  • Quello che facciamo è valutare gli adempimenti sotto NIS 2 e le vostre modalità di risposta
  • Risultato finale sarà la vostra presa di coscienza dei GAP in ambito NIS 2, per i quali vi aiuteremo a stimare e programmare le misure di adeguamento

 

Successive fasi di lavoro, da attivare in maniera modulare in base alle vostre necessità:

1) Supporto alla Governance

  • Supporto nella scelta del framework di riferimento più idoneo (NIST/IEC 62443), ed integrazioni con ISO 27001
  • Definizione delle responsabilità, organigrammi e job description per la cybersecurity
  • Definizione dei metodi, dei criteri e dei metodi per l’analisi dei rischi e della sicurezza dei sistemi
  • Definizione delle procedure per la gestione degli incidenti, mitigazione degli impatti e sistema di notifica
  • Analisi di tipo BIA (ISO 22317) per la continuità operativa, piani di business continuity e di disaster recovery
  • Analisi e messa in sicurezza della supply chain, definizione dei criteri di qualifica dei fornitori
  • Change Management, sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi
  • Definizione delle strategie, KPI/KRI e valutazione dell’efficacia delle misure di gestione dei rischi
  • Definizione delle Policy per i sistemi OT
  • Formazione del personale coinvolto nella cybersecurity
  • Procedure per la gestione degli asset e della documentazione
  • Procedure per la gestione delle vulnerabilitàe per l’aggiornamento dei sistemi OT
  • Sviluppo dei manuali per i sistemi di gestione della sicurezza e documentazione connessa
  • Esecuzione degli audit periodici sul livello di conformità e sicurezza

2) Supporto Tecnico

  • Valutazione dei rischi di cybersecurity
  • Cybersecurity Assessment del sito e analisi delle vulnerabilità
  • High Level Design sulle architetture del sito, piani di indirizzamento, segmentazione e segregazione delle reti
  • Supporto per la gestione dei fornitori e degli integratori, sviluppo delle specifiche tecniche, verifica e monitoraggio dei fornitori, procedure di collaudo FAT/SAT in merito alla cybersecurity
  • Sviluppo dei piani di Harderning dei dispositivi
  • Patch Management, supporto nella scelta delle soluzioni tecniche più idonee in funzione delle applicazioni e dei vendor utilizzati
  • Supporto nella scelta delle soluzionidi IDS, accesso remoto, gestione accessi

 

Contattaci per realizzare i vostri progetti in ambito NIS 2 con l’aiuto della consulenza.

Faq

La Direttiva NIS 2 nasce dalla revisione della NIS per garantire la effettiva continuità dei servizi essenziali in caso di eventi critici; servizi nel tempo diventati irrinunciabili per accelerare la trasformazione digitale a livello sociale, e, inesorabilmente, sempre più spesso presi di mira dalle intrusioni malevole, ampliando il campo di applicazione a un maggior numero di settori, categorizzati in base alla loro importanza.

Detto che gli operatori sotto NIS devono essere considerati soggetti essenziali anche ai fini della NIS 2, la Direttiva aggiornata considera settori critici tutte le organizzazioni che superano per dimensione la media impresa e forniscono servizi nei settori indicati nell’Allegato I, ossia:
  • Energia (elettrica, petrolio, gas)
  • Trasporto (aereo, ferroviario, via acqua, via strada)
  • Settore sanitario
  • Acqua potabile
  • Acque reflue
  • Pubblica Amministrazione
  • Spazio
Inoltre, la NIS 2 aggiunge all’elenco dei soggetti interessati anche le medie imprese che forniscono servizi nei settori indicati nell’Allegato II, definiti “soggetti importanti”, in cui rientrano, ad esempio:
  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Fabbricazione, produzione e distribuzione di sostanze chimiche
  • Produzione, trasformazione e distribuzione di alimenti
  • Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro
  • Fabbricazione di computer e prodotti di elettronica e ottica
  • Fabbricazione di apparecchiature elettriche
  • Fabbricazione di macchinari e apparecchiature n.c.a.
  • Fabbricazione di autoveicoli, rimorchi e semirimorchi
  • Fabbricazione di altri mezzi di trasporto

L'entrata in vigore della Direttiva NIS 2 è prevista per il 18 ottobre 2024. Così come avvenuto per la prima Direttiva del 2018, gli Stati membri avranno un tempo definito per recepire i nuovi requisiti. Ad esempio, nel caso della prima Direttiva NIS, gli Stati membri avevano tempo fino al 9 maggio 2018 per recepire le regole nell’ordinamento nazionale e stabilire le sanzioni pecuniarie per la mancata conformità con la Direttiva. In Italia questo passo è stato segnato dal D.lgs. n.65 del 18 maggio 2018.

Perché Sceglierci

  • Abbiamo maturato esperienza nell'ambito della Cyber Security OT dal 2014
  • Testiamo le soluzioni di Cyber Security OT nel nostro laboratorio interno
  • I nostri tecnici sono certificati IEC 62443/ISA 99 (Fundamentals Specialist e Cyber Security Risk Assessment Specialist)
  • Siamo specializzati nel campo dell'automazione e delle reti OT
  • Collaboriamo con i principali fornitori di tecnologie per suggerire sempre la soluzione OT più indicata
  • La nostra divisione interna BYHON è Ente Accreditato ISASecure® per la certificazione di Cyber Security OT

Dicono di noi