Adempimento Requisiti Direttiva NIS 2
Se lavori su infrastrutture critiche, scopri i requisiti di conformità
Le Direttive NIS e NIS 2 nascono per incentivare gli Stati dell’UE ad adottare strategie nazionali in materia di cybersecurity in risposta agli incidenti di sicurezza che colpiscono i servizi essenziali.
La Direttiva NIS 2, con entrata in vigore prevista al 18 ottobre 2024 come evoluzione della Direttiva sulla Network and Information Security del 2018, suddivide i settori critici in due diverse categorie di rilevanza:
- Settori essenziali, che comprendono le organizzazioni che superano per dimensione la media impresa e forniscono servizi nei settori indicati nell’Allegato I ossia energia (elettrica, petrolio, gas), trasporto (aereo, ferroviario, via acqua, via strada), settore sanitario, acqua potabile, acque reflue, Pubblica Amministrazione, spazio, infrastrutture digitali (fra cui servizi di cloud computing, DNS, servizi di content delivery network)
- Settori importanti, medie imprese che forniscono servizi nei settori indicati nell’Allegato II, categoria che non era presente nella prima Direttiva e che si aggiunge agli obblighi di legge nella seconda revisione
Rientrano nei servizi essenziali:
- Energia (elettrica, petrolio, gas)
- Trasporto (aereo, ferroviario, via acqua, via strada)
- Settore sanitario
- Acqua potabile
- Acque reflue
- Pubblica Amministrazione
- Spazio
- Infrastrutture digitali (fra cui servizi di cloud computing, DNS, servizi di content delivery network)
Rientrano nei servizi importanti:
- Servizi postali e di corriere
- Gestione dei rifiuti
- Fabbricazione, produzione e distribuzione di sostanze chimiche
- Produzione, trasformazione e distribuzione di alimenti
- Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro
- Fabbricazione di computer e prodotti di elettronica e ottica
- Fabbricazione di apparecchiature elettriche
- Fabbricazione di macchinari e apparecchiature n.c.a.
- Fabbricazione di autoveicoli, rimorchi e semirimorchi
- Fabbricazione di altri mezzi di trasporto
- Servizi digitali, come motori di ricerca e piattaforme di social network
Ognuno dei soggetti interessati è tenuto ad applicare le misure elencate nell’Art. 21, comma 2, fra cui, ad esempio, l’adozione di politiche di analisi dei rischi e di sicurezza dei sistemi, policy per la gestione degli incidenti, pratiche di igiene informatica di base e formazione.
Cosa possiamo fare per voi se il vostro settore di appartenenza è considerato critico:
All’interno del settore, e in attesa del recepimento della Direttiva NIS 2, è necessario applicare i codici ATECO. Convenuto che il vostro settore rientra in una delle categorie elencate dagli All. I e II della Direttiva, il nostro servizio di consulenza prevede un’attività di audit iniziale, per evidenziare i gap da colmare rispetto agli adempimenti richiesti in ambito NIS 2 (art. 21).
La GAP Analysis:
- Scopo di analizzare lo stato delle misure richieste dall’art. 21, il livello di maturità e di copertura, in riferimento al perimetro cibernetico da proteggere
- Quello che facciamo è valutare gli adempimenti sotto NIS 2 e le vostre modalità di risposta
- Risultato finale sarà la vostra presa di coscienza dei GAP in ambito NIS 2, per i quali vi aiuteremo a stimare e programmare le misure di adeguamento
Successive fasi di lavoro, da attivare in maniera modulare in base alle vostre necessità:
1) Supporto alla Governance
- Supporto nella scelta del framework di riferimento più idoneo (NIST/IEC 62443), ed integrazioni con ISO 27001
- Definizione delle responsabilità, organigrammi e job description per la cybersecurity
- Definizione dei metodi, dei criteri e dei metodi per l’analisi dei rischi e della sicurezza dei sistemi
- Definizione delle procedure per la gestione degli incidenti, mitigazione degli impatti e sistema di notifica
- Analisi di tipo BIA (ISO 22317) per la continuità operativa, piani di business continuity e di disaster recovery
- Analisi e messa in sicurezza della supply chain, definizione dei criteri di qualifica dei fornitori
- Change Management, sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi
- Definizione delle strategie, KPI/KRI e valutazione dell’efficacia delle misure di gestione dei rischi
- Definizione delle Policy per i sistemi OT
- Formazione del personale coinvolto nella cybersecurity
- Procedure per la gestione degli asset e della documentazione
- Procedure per la gestione delle vulnerabilitàe per l’aggiornamento dei sistemi OT
- Sviluppo dei manuali per i sistemi di gestione della sicurezza e documentazione connessa
- Esecuzione degli audit periodici sul livello di conformità e sicurezza
2) Supporto Tecnico
- Valutazione dei rischi di cybersecurity
- Cybersecurity Assessment del sito e analisi delle vulnerabilità
- High Level Design sulle architetture del sito, piani di indirizzamento, segmentazione e segregazione delle reti
- Supporto per la gestione dei fornitori e degli integratori, sviluppo delle specifiche tecniche, verifica e monitoraggio dei fornitori, procedure di collaudo FAT/SAT in merito alla cybersecurity
- Sviluppo dei piani di Harderning dei dispositivi
- Patch Management, supporto nella scelta delle soluzioni tecniche più idonee in funzione delle applicazioni e dei vendor utilizzati
- Supporto nella scelta delle soluzionidi IDS, accesso remoto, gestione accessi
Contattaci per realizzare i vostri progetti in ambito NIS 2 con l’aiuto della consulenza.
Faq
- Energia (elettrica, petrolio, gas)
- Trasporto (aereo, ferroviario, via acqua, via strada)
- Settore sanitario
- Acqua potabile
- Acque reflue
- Pubblica Amministrazione
- Spazio
- Servizi postali e di corriere
- Gestione dei rifiuti
- Fabbricazione, produzione e distribuzione di sostanze chimiche
- Produzione, trasformazione e distribuzione di alimenti
- Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro
- Fabbricazione di computer e prodotti di elettronica e ottica
- Fabbricazione di apparecchiature elettriche
- Fabbricazione di macchinari e apparecchiature n.c.a.
- Fabbricazione di autoveicoli, rimorchi e semirimorchi
- Fabbricazione di altri mezzi di trasporto
Articoli Consigliati
Direttiva NIS 2, cosa fare in attesa del recepimento
Perché Sceglierci
Abbiamo maturato esperienza nell'ambito della Cyber Security OT dal 2014
Testiamo le soluzioni di Cyber Security OT nel nostro laboratorio interno
I nostri tecnici sono certificati IEC 62443/ISA 99 (Fundamentals Specialist e Cyber Security Risk Assessment Specialist)
Siamo specializzati nel campo dell'automazione e delle reti OT
Collaboriamo con i principali fornitori di tecnologie per suggerire sempre la soluzione OT più indicata
La nostra divisione interna BYHON è Ente Accreditato ISASecure® per la certificazione di Cyber Security OT