Requisiti per garantire la sicurezza dei sistemi ICT durante l’intero ciclo di vita, dall’acquisizione allo smaltimento

NIS2 Frequently Asked Questions

La direttiva NIS2, pur non delineando esplicitamente un approccio strutturato al ciclo di vita dei sistemi ICT dalla creazione alla dismissione, fornisce linee guida e requisiti che coprono le principali fasi legate alla sicurezza, dall’acquisizione e sviluppo alla gestione continua e allo smaltimento.

đź”´ NIS2: sei conforme? Non rischiare sanzioni o vulnerabilitĂ . Adegua subito la tua azienda con il supporto dei nostri esperti.

Acquisizione e sviluppo

  • Sicurezza della catena di approvvigionamento: La direttiva sottolinea l’importanza di considerare i rischi per la sicurezza informatica all’interno delle catene di fornitura.
    • Articolo 21, Paragrafo 2(d): Richiede agli enti essenziali e importanti di implementare misure di gestione del rischio che includano la “sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza delle relazioni tra ciascun ente e i suoi fornitori o prestatori di servizi diretti.”
    • Articolo 21, Paragrafo 3: Specifica che, nella valutazione dell’adeguatezza delle misure di sicurezza della catena di fornitura, gli enti devono tenere conto “delle vulnerabilitĂ  specifiche di ciascun fornitore o prestatore di servizi diretto e della qualitĂ  complessiva dei prodotti e delle pratiche di sicurezza informatica dei loro fornitori e prestatori di servizi, comprese le loro procedure di sviluppo sicuro.”
    • Articolo 22: Consente la realizzazione di valutazioni coordinate dei rischi per la sicurezza delle catene di fornitura critiche a livello dell’UE, influenzando potenzialmente la selezione e la gestione dei fornitori ICT.
  • Pratiche di sviluppo sicuro: La direttiva evidenzia l’importanza di considerare la sicurezza durante lo sviluppo dei sistemi ICT, anche per quelli sviluppati internamente.
    • Articolo 21, Paragrafo 2(e): Elenca la “sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi di rete e informazione, inclusa la gestione e la divulgazione delle vulnerabilitĂ ,” come elemento chiave delle misure richieste di gestione del rischio informatico.
    • Articolo 21, Paragrafo 3: Come indicato sopra, questo paragrafo sottolinea l’importanza di considerare le “procedure di sviluppo sicuro” dei fornitori nella valutazione dei rischi della catena di fornitura.
  • Uso di prodotti e servizi certificati: Sebbene non sia obbligatorio in tutti i casi, la direttiva NIS2 incoraggia e, in alcune situazioni, può richiedere l’uso di prodotti, servizi e processi ICT certificati.
    • Articolo 24, Paragrafo 1: Stabilisce che gli Stati Membri “possono richiedere” agli enti essenziali e importanti di utilizzare prodotti, servizi e processi ICT certificati secondo i regimi europei di certificazione della sicurezza informatica istituiti dal Regolamento (UE) 2019/881.
    • Articolo 24, Paragrafo 2: Conferisce alla Commissione il potere di adottare atti delegati per specificare quali categorie di enti essenziali e importanti “sono tenute” a utilizzare soluzioni certificate o a ottenere una certificazione.

Gestione continua

  • Gestione del rischio informatico: L’articolo 21 costituisce la pietra angolare dell’approccio della direttiva NIS2 alla gestione continua della sicurezza ICT, imponendo un approccio basato sul rischio.
    • Articolo 21, Paragrafo 1: Richiede agli enti essenziali e importanti di implementare “misure tecniche, operative e organizzative appropriate e proporzionate per gestire i rischi alla sicurezza dei sistemi di rete e informazione utilizzati da tali enti nelle loro operazioni o per la fornitura dei loro servizi, al fine di prevenire o minimizzare l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi.”
    • Articolo 21, Paragrafo 2: Fornisce un elenco dettagliato di 10 elementi chiave che queste misure devono includere. Questi elementi coprono vari aspetti del ciclo di vita del sistema ICT, come l’analisi del rischio, la gestione degli incidenti, la continuitĂ  operativa, la sicurezza della catena di fornitura, la gestione delle vulnerabilitĂ , l’uso della crittografia, la sicurezza delle risorse umane, il controllo degli accessi e la gestione degli asset.
  • Gestione degli incidenti: La direttiva NIS2 stabilisce un processo completo per la gestione degli incidenti.
    • Articolo 23: Richiede agli enti essenziali e importanti di segnalare gli incidenti significativi al loro CSIRT o all’autoritĂ  nazionale competente.
  • Gestione e divulgazione delle vulnerabilitĂ : La direttiva riconosce l’importanza di affrontare proattivamente le vulnerabilitĂ .
    • Articolo 12: Stabilisce un quadro per la divulgazione coordinata delle vulnerabilitĂ , incoraggiando la segnalazione delle stesse ai produttori e ai fornitori di servizi e facilitando pratiche di divulgazione responsabili.
    • Articolo 12, Paragrafo 2: Prevede la creazione di un database UE delle vulnerabilitĂ  gestito da ENISA. Questo database funge da archivio centrale per le vulnerabilitĂ  pubblicamente note nei prodotti e servizi ICT.
  • Formazione e consapevolezza: La direttiva NIS2 riconosce l’importanza dell’elemento umano nella sicurezza informatica.
    • Articolo 20: Richiede agli Stati Membri di garantire che i membri degli organi direttivi degli enti essenziali e importanti ricevano una formazione per migliorare la loro comprensione dei rischi e delle pratiche di gestione della sicurezza informatica. La direttiva incoraggia inoltre una formazione simile per i dipendenti.

Smaltimento

La direttiva NIS2 non affronta esplicitamente lo smaltimento sicuro dei sistemi ICT. Tuttavia, alcune disposizioni riguardano la sicurezza dei dati e la riservatezza, aspetti che dovrebbero essere considerati durante la dismissione:

  • Considerazioni sulla protezione dei dati: Sebbene non trattato direttamente nella NIS2, lo smaltimento dei sistemi ICT deve essere conforme alle normative pertinenti sulla protezione dei dati, come il GDPR. Questo include garantire la cancellazione o distruzione sicura dei dati sensibili.
  • Requisiti di riservatezza: L’articolo 23, paragrafo 7, consente la divulgazione pubblica degli incidenti, ma sottolinea che ciò deve avvenire “in consultazione con l’ente interessato” e con considerazione per “la riservatezza delle informazioni fornite.” Pur essendo riferito alla segnalazione degli incidenti, questo principio di riservatezza dovrebbe estendersi ai dati e alle informazioni presenti sui sistemi ICT durante lo smaltimento.

Considerazioni finali

Sebbene non sia il focus principale della direttiva, la NIS2 affronta aspetti chiave della sicurezza dei sistemi ICT lungo tutto il ciclo di vita. La direttiva pone l’accento su:

  • Pratiche di acquisizione e sviluppo sicure.
  • Gestione continua dei rischi, gestione degli incidenti e delle vulnerabilitĂ .
  • Importanza della protezione dei dati e della riservatezza, anche durante lo smaltimento.

Le organizzazioni dovrebbero interpretare e implementare i requisiti della direttiva considerando l’intero ciclo di vita dei sistemi ICT.

Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.

🚀 Con ISGroup, hai la certezza di un’implementazione NIS2 totalmente conforme e allineata alle normative. Affida a noi ogni fase del processo, dalla valutazione alla messa in opera.

In