Requisiti tecnici e metodologici delle misure di gestione dei Rischi in ambito Cybersecurity.
Il documento è indirizzato ai fornitori di servizi DNS, ai registrar di primo livello, ai fornitori di servizi di Cloud Computing, ai fornitori di data center, ai fornitori di reti di distribuzione dei contenuti, ai fornitori di servizi di sicurezza informatica gestiti, ai fornitori di e-commerce, ai motori di ricerca on-line, ai fornitori di piattaforme di servizi di social network e, ultimi ma non da meno, ai prestatori di servizi fiduciari (eIDAS).
Se la tua organizzazione non rientra direttamente in queste categorie, risulta comunque interessante leggerlo poiché fornisce una panoramica dei requisiti e delle policy di sicurezza informatica che chi opera in quei settori deve rispettare.
La prima policy?
Considerando n.3: a norma dell’articolo 21, paragrafo 5, terzo comma, della direttiva (UE) 2022/2555, i requisiti tecnici e metodologici delle misure di gestione dei rischi di Cybersecurity di cui all’allegato del presente regolamento si basano su norme europee e internazionali, quali ISO/IEC 27001, ISO/IEC 27002 ed ETSI EN 319/401, e su specifiche tecniche, quali CEN/TS 18026:2024, pertinenti per la sicurezza dei sistemi informativi e di rete.
Quindi?
I requisiti tecnici e metodologici sono descritti nell’allegato (ho inserito il link alla fine di questo articolo), e tra questi è possibile trovare:
1 Policy di sicurezza informatica dei sistemi informativi e di rete [art.21.2a NIS2]
2 Policy di gestione dei rischi [art.21.2a NIS2]
3 Gestione degli incidenti informatici [art.21.2b NIS2]
4 Continuità operativa e gestione delle crisi [art.21.2c NIS2]
5 Sicurezza della catena di approvvigionamento (“Supply chain security“) [art.21.2d NIS2]
6 Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete [art.21.2e NIS2]
7 Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersecurity [art.21.2f NIS2]
8 Pratiche di igiene informatica di base e Formazione in materia di sicurezza informatica [art.21.2g NIS2]
9 Crittografia [art.21.2h NIS2]
10 Sicurezza delle risorse umane [art.21.2i NIS2]
11 Controllo degli accessi [art.21.2i/j NIS2]
12 Gestione delle risorse [art.21.2i NIS2]
Per la prima volta il Regolamento fa riferimento a standard internazionali come ISO 27001:2022, ma attenzione:
– la sola certificazione ISO non risolve i problemi che ruotano intorno alla direttiva NIS 2;
– la certificazione ISO non è obbligatoria, ma garantisce un impegno;
– un Sistema di gestione per la sicurezza delle informazioni (anche non certificato) aiuta il rispetto di misure tecniche e organizzative, che consentano di minimizzare i rischi di Cybersecurity, tramite l’adozione di controlli e l’individuazione di contromisure;
Ma soprattutto:
DIFFIDA di CHIUNQUE ti PROMETTA il BOLLINO BLU per la direttiva NIS2 solo se ACQUISTI il suo CORSO! Per diventare compliance alla direttiva occorrono tempo e denaro, occorrono verifiche tecniche approfondite, spesso reingegnerizzazione dei sistemi informativi, e consulenze erogate da professionisti con reali e pluriennali esperienze in ambito Cybersecurity (non fidarti del primo sedicente consulente con cui entri in contatto: prova a chiedergli se ha mai gestito un incidente informatico, e come lo ha fatto… potresti scoprire che molti consulenti in ambito GDPR e NIS2 sono solo persone che hanno sostenuto un esame di certificazione ISO “qualcosa”, ma con scarsa o insesistente esperienza tecnica in ambito Cybersecurity).
Link al regolamento (disponibile in 27 lingue, tra cui anche l’italiano)
dmzware.com 