Conformità alla direttiva Network and Information Systems (NIS2) implementando ISO 27001
Nel 2023, l’UE ha adottato la seconda versione della direttiva sui sistemi di rete e informativi, la NIS2.
NIS2 è una direttiva, mentre DORA e GDPR sono regolamenti. La differenza principale è che una direttiva deve essere prima recepita nella legislazione nazionale, mentre un regolamento diventa immediatamente applicabile.
NIS2 mira a stabilire un livello più elevato di cybersecurity per le entità classificate come essenziali o importanti.
Entità essenziali
Entità importanti
NIS2 ti riguarda?
Sebbene NIS2 si rivolga principalmente ad aziende grandi (oltre 250 dipendenti) e medie (oltre 50 dipendenti), anche le piccole aziende possono essere impattate, se uno stato membro le identifica come critiche.
Anche se non sei un’entità essenziale o importante, potresti far parte della loro supply chain. Ad esempio, SaaS, cloud o fornitori di servizi gestiti che offrono i loro servizi a entità critiche potrebbero essere tenuti a dimostrare la loro conformità a NIS2.
Contenuti di NIS2
La direttiva NIS2 è una legislazione completa che descrive le responsabilità degli stati membri dell’UE, comprese giurisdizione e sanzioni per il mancato rispetto delle normative.
Le entità che rientrano nell’ambito di NIS2 devono anche cooperare con i Computer Security Incident Response Teams (CSIRT) locali e con l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA).
Misure
Inoltre, e questo è ciò di cui si parla di più, l’articolo 21 di NIS2 contiene una serie di misure tecniche, operative e organizzative che le entità devono implementare, le quali si mappano comodamente con ISO 27001:
| Articolo 21 di NIS2 | ISO 27001:2022 |
|---|---|
| Politiche per l’analisi del rischio e la sicurezza dei sistemi informativi | 5.2 Politica; 6.1.2 Valutazione del rischio per la sicurezza delle informazioni; 6.1.3 Trattamento del rischio per la sicurezza delle informazioni; A.5.1 Politiche per la sicurezza delle informazioni |
| Gestione degli incidenti | A.5.24 Pianificazione e preparazione per la gestione degli incidenti di sicurezza delle informazioni; A.5.25 Valutazione e decisione sugli eventi di sicurezza delle informazioni; A.5.26 Risposta agli incidenti di sicurezza delle informazioni; A.5.27 Apprendimento dagli incidenti di sicurezza delle informazioni |
| Continuità operativa, come la gestione dei backup e il recupero in caso di disastro, e la gestione delle crisi | A.5.29 Sicurezza delle informazioni durante le interruzioni; A.5.30 Preparazione ICT per la continuità operativa; A.8.13 Backup delle informazioni; A.8.14 Ridondanza delle strutture di elaborazione delle informazioni |
| Sicurezza della catena di approvvigionamento, compresi gli aspetti legati alla sicurezza delle relazioni tra l’entità e i suoi fornitori o fornitori di servizi diretti | A.5.19 Sicurezza delle informazioni nelle relazioni con i fornitori; A.5.20 Affrontare la sicurezza delle informazioni negli accordi con i fornitori; A.5.21 Gestire la sicurezza delle informazioni nella catena di approvvigionamento ICT |
| Sicurezza nell’acquisizione, sviluppo e manutenzione di sistemi informativi e reti, compresa la gestione e la divulgazione delle vulnerabilità | A.5.19 Sicurezza delle informazioni nelle relazioni con i fornitori; A.5.20 Affrontare la sicurezza delle informazioni negli accordi con i fornitori |
| Politiche e procedure per valutare l’efficacia delle misure di gestione del rischio informatico | 9.1 Monitoraggio, misurazione, analisi e valutazione; 9.2 Audit interni; 9.3 Revisione della direzione; A.5.35 Revisione indipendente della sicurezza delle informazioni; A.5.36 Conformità con politiche e standard per la sicurezza delle informazioni |
| Pratiche di base per l’igiene informatica e formazione sulla sicurezza informatica | A.5.1 Politiche per la sicurezza delle informazioni; A.6.3 Sensibilizzazione, educazione e formazione sulla sicurezza delle informazioni |
| Politiche e procedure relative all’uso della crittografia e, ove appropriato, della cifratura | A.8.24 Uso della crittografia |
| Sicurezza delle risorse umane, politiche di controllo degli accessi e gestione delle risorse | A.5.15 Controllo degli accessi; A.5.16 Gestione dell’identità; A.5.17 Informazioni di autenticazione; A.5.18 Diritti di accesso; A.5.9 Inventario delle informazioni e delle risorse ad esse associate; A.6.1-A.6.8 Controlli delle persone |
| Uso di soluzioni di autenticazione multi-fattore o autenticazione continua, comunicazioni vocali, video e di testo sicure e sistemi di comunicazione di emergenza sicuri all’interno dell’entità, quando appropriato | A.5.14 Trasferimento di informazioni; A.5.17 Informazioni di autenticazione; A.8.5 Autenticazione sicura; A.8.20 Controlli di rete; A.8.21 Sicurezza dei servizi di rete |
Conformità a NIS2 tramite l’implementazione di ISO 27001
Tutti i requisiti sopra menzionati possono essere coperti implementando un sistema di gestione della sicurezza delle informazioni (ISMS) secondo ISO 27001. La certificazione non è obbligatoria per NIS2, ma sicuramente aiuterà le entità quando verranno richieste a dimostrare la loro conformità.
Oltre alla conformità a NIS2, ci sono molti altri vantaggi nell’implementare ISO 27001!
Come possiamo aiutarti?
Easy27001 è la soluzione definitiva per le aziende italiane che desiderano ottenere la certificazione ISO 27001 in modo rapido, efficiente e senza le complessità tipiche dei metodi tradizionali. Progettato dagli esperti di cyber security e compliance normativa Dottor Marc, questo servizio innovativo combina tecnologia avanzata e consulenza esperta per guidarti verso la certificazione con il minimo sforzo e il massimo risultato.
