NIS2 e Autenticazione Multi-Fattore

La Direttiva NIS2 promuove direttamente l’uso dell’autenticazione multi-fattore (MFA) come misura di sicurezza informatica.

• Articolo 21, Paragrafo 2(j): Indica esplicitamente “l’uso di soluzioni di autenticazione multi-fattore o autenticazione continua” come uno degli elementi chiave di sicurezza che gli enti essenziali e importanti devono considerare nell’implementazione delle misure di gestione del rischio informatico.

Sebbene la Direttiva non renda obbligatoria l’adozione della MFA in tutti i casi, la sua inclusione tra questi elementi evidenzia l’importanza di tale controllo di sicurezza, in particolare per:

• Controllo degli Accessi: La MFA aggiunge un ulteriore livello di sicurezza per l’accesso a sistemi e dati sensibili, rendendo significativamente più difficile per utenti non autorizzati ottenere l’accesso, anche qualora abbiano compromesso un fattore di autenticazione (ad esempio, una password).
• Riduzione dell’Impatto delle Credenziali Compromesse: Data la prevalenza di attacchi di phishing e violazioni che portano al furto di password, la MFA funge da salvaguardia critica richiedendo ulteriori fattori di verifica, tipicamente più difficili da ottenere per gli aggressori.

I requisiti generali della Direttiva NIS2 supportano implicitamente l’uso della MFA anche attraverso:

• Approccio di Gestione del Rischio: L’enfasi della Direttiva su un approccio basato sul rischio per la sicurezza informatica (Articolo 21) implica che gli enti devono valutare i rischi per i loro sistemi e dati e implementare controlli adeguati. Considerata l’efficacia della MFA nel mitigare i rischi di accesso non autorizzato, questa verrebbe probabilmente considerata una misura proporzionata ed essenziale per molte organizzazioni soggette alla Direttiva.
• Sicurezza delle Reti e dei Sistemi Informativi: L’Articolo 21, Paragrafo 1, richiede agli enti di adottare misure per gestire i rischi e “prevenire o ridurre al minimo l’impatto degli incidenti.” La MFA si allinea direttamente a questo obiettivo rafforzando la sicurezza degli accessi e riducendo la probabilità di violazioni riuscite.

In sintesi: Sebbene la Direttiva NIS2 non imponga esplicitamente l’uso dell’autenticazione multi-fattore in ogni scenario, ne incoraggia fortemente l’adozione attraverso:

• L’inclusione diretta come elemento di sicurezza chiave da considerare.
• La cornice normativa basata sulla gestione del rischio, dove la MFA rappresenta un controllo altamente rilevante.
• L’enfasi sulla necessità di proteggere i sistemi e ridurre al minimo l’impatto degli incidenti.

Per le organizzazioni che devono strutturare o verificare il proprio percorso di adeguamento, il servizio di NIS2 Compliance di ISGroup supporta l’identificazione delle misure tecniche richieste, inclusa la valutazione dei controlli di autenticazione previsti dall’Articolo 21. Il testo integrale della norma è consultabile nel documento ufficiale della Direttiva NIS2.