Consulenza normativa per compliance NIS 2

L’OFFERTA BUREAU VERITAS NEXTA PER RAGGIUNGERE UN COMUNE LIVELLO DI CYBERSICUREZZA IN TUTTI GLI STATI MEMBRI DELL'UNIONE EUROPEA

Cosa è la Direttiva NIS 2?

La Direttiva NIS 2 è un aggiornamento della versione precedente NIS (Network and Information Security). Il suo obiettivo è creare un comune livello di cybersicurezza in tutti gli Stati membri dell'Unione Europea.
Le misure di cybersicurezza richieste dalla NIS 2 sono elencate all’interno dell’articolo 21 della Direttiva stessa. Queste misure includono quanto segue:
•    Analisi dei rischi e policy di sicurezza delle informazioni
•    Gestione completa degli incidenti
•    Gestione della crisi e della continuità operativa
•    Sicurezza efficace della supply chain
•    Sicurezza della rete estesa
•    Gestione delle vulnerabilità e divulgazione
•    Policy e procedure che valutano l'efficacia della gestione del rischio di cybersicurezza
•    Uso della crittografia e della cifratura
•    Uso dell'autenticazione multifattore.

Cosa comporta il mancato adeguamento alla NIS 2?

Il mancato adeguamento da parte delle aziende comporta sanzioni. In base alla NIS 2, le autorità nazionali possono imporre una gamma più ampia di sanzioni rispetto alla NIS. Ad esempio:
• I direttori e il management possono essere ritenuti personalmente responsabili per fallimenti nell'implementazione;
• Le multe possono arrivare fino a 10 milioni di euro o il 2% del fatturato totale (per le entità essenziali) o fino a 7 milioni di euro o l'1,4% del fatturato totale (per le entità importanti);
• I regolatori possono sospendere le operazioni aziendali se necessario per la sicurezza della rete.

Qual è l'obiettivo della Direttiva NIS 2?

L'obiettivo principale della Direttiva NIS 2 è promuovere una cultura della sicurezza informatica e garantire la resilienza dei servizi essenziali, in tre aree chiave:

  • Gestione dei rischi e risposta agli incidenti
    La NIS 2 stabilisce che le organizzazioni devono condurre valutazioni dei rischi regolari per identificare le potenziali minacce e avere piani di risposta agli incidenti robusti per garantire di poter rispondere e riprendersi efficacemente dagli incidenti informatici.
  • Misure di sicurezza
    Richiede alle organizzazioni di implementare misure tecniche e organizzative per garantire la sicurezza delle loro reti e dei sistemi informativi. Questo include controlli di accesso, crittografia e aggiornamenti di sicurezza regolari.
  • Requisiti di segnalazione
    Le organizzazioni devono anche segnalare gli incidenti informatici significativi alle autorità competenti.
Contattaci per saperne di più

NIS 2. I servizi Bureau Veritas Nexta

Bureau Veritas Nexta offre una gamma di servizi per supportare la conformità a NIS 2: 
 

  • Verificare l’applicabilità della NIS 2

  • Mappare la situazione attuale di ogni singola organizzazione

  • Implementare miglioramenti

  • Raggiungere la conformità a NIS 2

Come si svolgono le attività Bureau Veritas Nexta in ambito NIS 2?

I passaggi delle attività che Bureau Veritas Nexta propone per supportare la conformità a NIS 2 si possono riassumere nel seguente modo:

  • Verifica dell’applicabilità della NIS 2 ad una determinata organizzazione
    Il primo passo è stabilire se un’Organizzazione rientra nell'ambito di applicazione
  • Formazione per il Consiglio di amministrazione e il personale
    Formare i dipendenti, sia a livello di Consiglio di amministrazione che ad altri livelli, è una parte essenziale della Direttiva NIS2. Bureau Veritas Nexta ha sviluppato un completo programma di formazione totalmente adattabile al contesto specifico e alle singole esigenze aziendali
  • Mappatura della situazione attuale di ogni singola organizzazione
    Per determinare quali passi devono essere intrapresi da un’organizzazione per soddisfare i requisiti della NIS 2, è importante avere una buona idea di quali sono i livelli di maturità della sicurezza delle diverse parti e processi in essere. Il servizio di valutazione delle lacune NIS 2 di Bureau Veritas Nexta misura il livello raggiunto e fornisce la roadmap per il raggiungimento dei target individuati per il raggiungimento della conformità alla NIS 2.
  • Implementazione dei miglioramenti
    Dopo aver mappato la situazione di un’organizzazione, supportiamo la stessa nell’implementazione nelle misure di miglioramento necessarie.
  • Raggiungimento della conformità a NIS 2
    Dopo aver completato tutti i precedenti passaggi, un’azienda sarà conforme a NIS 2 e sarà più sicura di fronte alle minacce informatiche. Bureau Veritas Nexta supporta l’azienda anche nella fase post con soluzioni di monitoraggio e per il miglioramento continuo.

Dopo aver effettuato una mappatura della situazione attuale dell’Organizzazione, sono diversi i servizi che Bureau Veritas Nexta propone - in base ai possibili riscontri - per l’implementazione delle misure di miglioramento necessarie:

  • Supply Chain Risk Management

    Qualora si evidenzi una lacuna nella gestione del rischio della supply chain, proponiamo un assessment processuale e tecnico per supportare le aziende a identificare, valutare e mitigare I rischi legati alla catena dei fornitori/partner che supportano le operazioni aziendali. L'obiettivo è garantire che la supply chain sia resistente e conforme alle normative di settore e in grado di supportare la continuità del business in caso di minacce quali compromissione dei fornitori, software malevolo, hardware contraffatto o alterato.

    Come viene svolto il servizio?
    Il servizio consiste nella valutazione della postura di sicurezza dei fornitori per assicurarsi che rispettino standard adeguati; Contratti chiari che stabiliscano le responsabilità in materia di sicurezza informatica; Monitoraggio continuo delle attività dei fornitori per rilevare e rispondere tempestivamente alle minacce.

  • Incident Management

    Qualora si evidenzi una lacuna nella gestione degli incidenti, è possibile eseguire un assessment per analizzare e valutare la gestione strutturata e tempestiva degli incidenti che possono compromettere la sicurezza informatica, la continuità operativa e il normale svolgimento delle operazioni e si compone di: creazione di procedure interne, definizione di strategie SIEM per monitorare, classificare e contenere gli eventi dannosi, strategie di comunicazione degli incidenti.

    Come viene svolto il servizio?
    Il servizio consiste nei seguenti passaggi: plan and prepare, detection and reporting, assessment and detection, response (inclusa la fase di attività post-incidente), lesson learnt.

  • Business Impact Analysis (BIA)

    Qualora si evidenzi una lacuna nella gestione dell’interruzione delle attività causata da possibili incidenti, è possibile eseguire un assessment per analizzare e valutare gli aspetti fondamentali dei processi di riferimento e le aspettative di business a riguardo, identificando le priorità aziendali, i tempi di recupero accettabili (RTO) e i requisiti di continuità (RPO). Al termine di questa attività si produce un report BIA
    - Business Impact Analysis, punto di partenza per sviluppare solidi piani di Business Continuity e Disaster Recovery.

    Come viene svolto il servizio?
    Si identificano le attività critiche (processi aziendali, dipendenze interne ed esterne) si definiscono i parametri chiave (MTD Maximum Tolerable Downtime; RTO Recovery Time Objective; RPO Recovery Point Objective) si analizzano gli impatti (economico, operativo, reputazionale, legale) si valutano le risorse critiche (personale, infrastrutture, tecnologie), si identificano gli stakeholder e le priorità di ripristino e si produce un report.

  • Identity & Access Management (IAM) - Privileged Access Control (PAM)

    Qualora si evidenzi una lacuna nella gestione del ciclo di vita delle utenze, dei privilegi di accesso e degli accessi alle risorse critiche, sarà condotto un assessment relativo a: 
    IAM-Identity & Access Management: Gestione delle identità e degli accessi delle stesse alle risorse applicative aziendali.
    PAM-Privileged Access Control: Gestione degli accessi delle identità privilegiate (amministrative).

    Come viene svolto il servizio?
    IAM può essere implementato in diversi modi, a seconda delle caratteristiche dell’architettura presa in esame, con soluzioni software complete o implementando misure correttive, qualora possibile, ai sistemi di gestione già presenti. PAM si implementa attraverso software dedicato.

  • Vulnerability Assessment (VA) - Penetration Test (PT)

    Qualora si evidenzi una lacuna nella gestione delle vulnerabilità, proponiamo un servizio per identificare, analizzare e testare le vulnerabilità dei sistemi, reti, applicazioni, software aziendali per prevenire possibili attacchi. Il VA-Vulnerability Assessment produce un report che riporta le vulnerabilità identificate, il loro livello di gravità e le raccomandazioni per mitigarle. Il PT-Penetration Test, simulando attacchi reali, verifica la resistenza dei sistemi alle vulnerabilità identificate.

    Come viene svolto il servizio?
    Vulnerability Assessment: Si definiscono gli obiettivi e l’ambito di interesse (reti, applicazioni, software, dispositivi), si definiscono accordi formali con l’organizzazione per concordare limiti ed effetti dei test, si raccolgono informazioni tramite strumenti automatizzati e manuali, si lanciano delle
    sonde per rilevare punti deboli e si classificano le vulnerabilità in base alla gravità.
    Penetration Test: Si eseguono test manuali e automatizzati per sfruttare vulnerabilità identificate e non identificate, registrando ogni passo, incluso l’accesso ottenuto e i dati compromessi.

Perché affidarsi a Bureau Veritas Nexta?

I principali vantaggi legati allo svolgimento dell’attività proposte da Bureu Veritas Nexta sono:

  • Protezione completa: Proteggete i dati e i sistemi critici con misure di sicurezza all'avanguardia su misura per ogni esigenza specifica.
  • Conformità normativa: Garantite l'aderenza alle ultime normative e standard di cybersecurity, riducendo i rischi legali e le sanzioni.
  • Efficienza dei costi: Minimizzate le perdite finanziarie dovute a violazioni dei dati e attacchi cibernetici con rilevamento proattivo delle minacce e strategie di risposta rapida.
  • Consulenza esperta: Accedete ad esperti di cybersecurity che forniscono supporto continuo e consulenza per rafforzare la cybersecurity aziendale.
  • Reputazione migliorata: Costruite fiducia con i clienti e le parti interessate dimostrando l’impegno per pratiche robuste azioni di cybersecurity.
  • Soluzioni scalabili: Adattate e proporzionate al livello di maturità di cybersecurity raggiunta dall’organizzazione in funzione della sua evoluzione, garantendo una protezione a lungo termine.

Faq - Domande frequenti sulla Direttiva NIS 2

  • Qual è la differenza tra la NIS e la NIS 2?

    La NIS 2 si concentra sugli stessi obiettivi della NIS, ma copre una gamma più ampia di settori, ha requisiti più rigorosi per la gestione dei rischi e la segnalazione degli incidenti e pene più severe per la non conformità. Espande anche l'ambito delle organizzazioni coperte.

  • Quali sono i principali requisiti della NIS 2?

    La NIS 2 stabilisce che devono essere istituiti processi per l'analisi e la gestione dei rischi, la sicurezza delle informazioni e la gestione degli incidenti informatici. Devono essere in atto piani di continuità e recupero per rispondere alle emergenze. Gli incidenti significativi devono essere segnalati alle autorità competenti. L'uso aziendale della tecnologia di crittografia e dell'autenticazione multifattoriale è obbligatorio. E sono richieste formazioni regolari per tutto il personale per istruirlo sulle migliori pratiche nella sicurezza delle informazioni.

  • QUAL è LA RELAZIONE TRA LA LA NIS 2 E LA ISO 27001?

    Sebbene sia ISO 27001 che NIS 2 mirino a migliorare la sicurezza informatica, hanno ambiti, applicabilità e approcci complessivi diversi nei confronti della sicurezza informatica. Se il vostro Sistema di Gestione della Sicurezza delle Informazioni (ISMS) è certificato secondo ISO 27001, sarete sulla strada per la conformità a NIS 2, ma saranno necessarie ulteriori misure e processi.