L’uso corretto della sicurezza informatica è oggi più importante che mai. A causa delle crescenti minacce, il rischio di attacchi è in costante aumento. Anche il legislatore lo ha riconosciuto e ha creato la linea guida NIS2. Axians fornisce consigli su come le aziende dovrebbero procedere ora.
Un quarto di milione di nuove varianti di malware scoperte, 2.000 vulnerabilità identificate nei prodotti software al mese, 21.000 nuovi sistemi infettati ogni giorno, 68 attacchi ransomware riusciti e due tentativi al mese solo contro strutture comunali o aziende municipali. Cifre allarmanti sono citate nell'attuale rapporto sulla situazione della sicurezza informatica dell'Ufficio federale per la sicurezza dell'informazione (BSI): l'Ufficio avverte che i criminali sono in continua evoluzione. Oggi i criminali informatici professionisti sono ampiamente collegati in rete e lavorano secondo una divisione del lavoro. Usano l'intelligenza artificiale (AI) e altre tecnologie moderne per i loro attacchi.
A causa di queste condizioni nel panorama della sicurezza informatica, l’UE ha emanato la Direttiva NIS2. I requisiti della direttiva sono attualmente in fase di recepimento nelle legislazioni nazionali e dovranno essere codificati entro il 17 ottobre 2024. Tutte le istituzioni interessate sono quindi obbligate ad attuare una serie di misure di sicurezza informatica.
Quali requisiti devono soddisfare le aziende per NIS2?
Le aziende devono, tra l’altro, dotarsi di un concetto di gestione del rischio, introdurre piani di emergenza e segnalare eventuali incidenti di sicurezza al BSI. Sono necessarie misure tecniche di protezione, come il backup sistematico dei dati, concetti di controllo degli accessi, crittografia e gestione delle vulnerabilità. Analogamente all’IT Security Act 2.0, anche la NIS2 prevede che le aziende, nei loro concetti di sicurezza, tengano conto dei punti deboli della loro catena di fornitura, in modo che i criminali non possano penetrare nei sistemi tramite i fornitori. È importante implementare finalmente lo stato dell’arte incorporando standard e processi di sicurezza che erano già raccomandati come migliori pratiche prima di NIS2.
Chi negli ultimi anni ha prestato attenzione a garantire la propria attività contro i criminali secondo le norme vigenti, deve solo apportare alcune modifiche per soddisfare i requisiti. Ma le aziende e le istituzioni che rientrano per la prima volta nell’area NIS2 e che in precedenza avevano trascurato il tema della sicurezza informatica, si trovano ora ad affrontare sfide importanti. Per prepararsi ai requisiti, le nuove aziende dovrebbero adottare tempestivamente misure di protezione. Il percorso verso l'obiettivo richiede cinque passaggi.
L’azienda è interessata dalla legislazione NIS2?
Innanzitutto le aziende dovrebbero chiarire se appartengono alla cerchia allargata della normativa NIS2. Esistono due gruppi principali: operatori di strutture critiche e strutture “particolarmente importanti” o “importanti”. Ciò che conta è se queste società operano in settori economici soggetti a regolamentazione. Qui c’è ancora molta incertezza. Per fare chiarezza, le aziende dovrebbero porsi le seguenti domande: Sono attivo in uno dei settori regolamentati? La mia attività soddisfa le soglie ufficiali? Il fatturato è sufficientemente elevato e il numero dei dipendenti è corretto? Se la risposta a queste domande è sì, si applicano i requisiti di protezione NIS2. Tuttavia è consigliabile che tutte le aziende, indipendentemente dal fatto che rientrino o meno in NIS2, mettano alla prova i propri concetti di sicurezza e verifichino se corrispondono allo stato della tecnica. I responsabili IT non dovrebbero inoltre dimenticare di determinare quali aree dell'azienda devono essere protette.
Quanto è sicura l'infrastruttura IT?
Il prossimo passo è scoprire dove si trovano i maggiori punti deboli. Come è strutturata la cybersecurity in azienda? Qual è l'attuale livello di protezione? Una valutazione del rischio mostra dove è meglio iniziare la strategia di sicurezza, ovvero dove le aziende possono ottenere i miglioramenti più rapidi. Successivamente, gli utenti dovrebbero ripetere il processo a intervalli regolari. La valutazione continua può aiutare ad aumentare gradualmente la resilienza dell’IT.
Qual è la sicurezza della catena di fornitura?
Nella valutazione obbligatoria dei rischi non dovrebbero giocare un ruolo solo i rischi aziendali, ma dovrebbero essere presi in considerazione anche i punti deboli specifici della catena di fornitura. Se vengono identificate delle vulnerabilità, è necessario adottare contromisure per conformarsi ai requisiti normativi e proteggere le interfacce. Le scansioni EAS (External Attack Surface), ad esempio, possono aiutare in questo. È consigliabile agire in modo proattivo ed effettuare un’analisi dei rischi per identificare possibili vulnerabilità nelle catene di fornitura. Le strutture interessate possono quindi sviluppare un concetto di sicurezza comune con le loro aziende fornitrici.
Quale sistema è adatto per il rilevamento degli attacchi?
Per garantire la necessaria sicurezza dei sistemi informativi si consigliano anche sistemi di rilevamento degli attacchi. Per molte aziende è consigliabile implementare una soluzione di gestione della sicurezza delle informazioni e degli eventi (sistema SIEM) poiché costituisce la base della maggior parte dei sistemi di rilevamento delle intrusioni. Il SIEM raccoglie dati che possono anche essere valutati in un centro operativo di sicurezza (SOC). Fornisce informazioni utili per le operazioni IT, come indicazioni di configurazioni errate. La varietà di opzioni SIEM offre numerose possibilità per soddisfare le esigenze dell'azienda. Le aziende, ad esempio, possono decidere se utilizzare un sistema SIEM autogestito oppure i servizi di un SOC professionale. La gamma di servizi offerti spazia dalla vostra gestione interna o da un SIEM cogestito fino ai servizi IT/OT SOC completamente gestiti da fornitori di servizi ICT esterni come Axians.
Come si presenta un concetto di sicurezza sensato per NIS2?
È importante non solo acquistare sistemi di sicurezza IT costituiti da hardware e software, ma anche stabilire regole e procedure che definiscano, gestiscano, monitorino, mantengano e migliorino continuamente la sicurezza delle informazioni. Le aziende possono procedere secondo il principio modulare: innanzitutto si dovrebbero adottare misure che aumentino rapidamente il livello di sicurezza. La protezione può quindi essere ampliata livello per livello. Standard di sicurezza come BSI-Grundschutz o ISO 2700x nonché un'architettura Zero Trust possono fungere da guida. In particolare, l’orientamento al Basic Protection Compendium offre un grande aiuto, poiché contiene un catalogo di buone pratiche di misure di sicurezza.
Il legislatore ha riconosciuto la gravità della situazione e ha inasprito i requisiti con nuove norme. La situazione di crescente minaccia dimostra che le aziende dovrebbero affrontare direttamente l’attuazione. Per non perdervi in decisioni tecniche dettagliate potete rivolgervi a fornitori di servizi ICT esperti come Axians. Questi implementano quotidianamente i sistemi per i clienti come richiesto dal regolamento NIS2. Valutazioni professionali, consulenza anticipata e supporto continuo aiutano a sviluppare rapidamente una strategia adeguata e ad alleviare il carico sui reparti IT delle aziende.
Maggiori informazioni su Axians.com
A proposito degli assiani
Axians supporta aziende private, istituzioni pubbliche, operatori di rete e fornitori di servizi nella modernizzazione delle loro infrastrutture e soluzioni digitali. Che si tratti di applicazioni o analisi dei dati, reti aziendali, spazi di lavoro condivisi, data center, soluzioni cloud, infrastrutture di telecomunicazioni o sicurezza Internet.