CHE COS'È
Il 17 gennaio 2023 è entrata in vigore la
Direttiva NIS 2, Network and Information Security.
Si tratta di una Direttiva Europea sulla
cyberscurity volta a
migliorare il livello complessivo di sicurezza informatica e standardizzare la resilienza informatica in tutta l'UE.
Con la
Direttiva NIS 2 viene infatti
rafforzata la gestione e la cooperazione in riferimento alle misure di
gestione del rischio cyber e gli obblighi di comunicazione adottati in tutti i settori disciplinati,
eliminando le divergenze nei requisiti di sicurezza e nell'attuazione delle misure di cybersecurity
nei diversi Stati membri.
L’entrata in vigore del
DECRETO LEGISLATIVO 4 settembre 2024, n. 138 di recepimento della direttiva NIS 2, al fine di rafforzare la resilienza alle minacce informatiche attuali e future, introduce
nuovi requisiti e obblighi per le organizzazioni italiane che riguardano:
- Identificare, valutare e mitigare i rischi cyber
- Valutare la postura di sicurezza
- Gestire la continuità operativa dei servizi
- Adottare misure per proteggere gli accessi privilegiati
- Rafforzare le difese organizzative e tecnologiche
- Monitorare la supply chain
- Formalizzare il piano di risposta agli incidenti
- Formare il personale creando consapevolezza riguardo la cybersecurity
Come CSQA può aiutare la tua azienda ad adeguarsi alla NIS 2
-
FORMAZIONE RIVOLTA AL TOP MANAGEMENT
La formazione di CSQA si rivolge nella fase iniziale al Top Management con l’obiettivo di:
- fornire una comprensione completa della Direttiva NIS 2 e dei suoi impatti sulla cybersecurity,
- creare consapevolezza riguardo le responsabilità in capo al management (accountability),
- comprendere la portata della direttiva, valutare il suo impatto sulle operazioni delle organizzazioni e implementare strategie efficaci per garantire la conformità,
- conoscere le eventuali sanzioni applicabili in caso di non ottemperanza.
-
GAP ANALYSIS
Attraverso l’utilizzo di una check-list appositamente progettata, CSQA definisce il livello di compliance dell’organizzazione rispetto alle seguenti norme di riferimento:
- Direttiva UE 2022/2555 – NIS 2 sulla sicurezza delle reti e delle informazioni,
- Dlgs. 138/2024 di recepimento della Direttiva NIS 2,
- ISO 27001:2022 e ISO 22301:2019
- UE 2024/2690 - Regolamento e modalità di applicazione della Direttiva NIS 2
Lo svolgimento dell’attività prevede:
- la verifica della documentazione esistente e dell'adeguatezza e l'efficienza delle policy cyber aziendali adottate dal cliente,
- interviste al personale coinvolto su aspetti sia organizzativi che tecnologici,
- identificazione del posizionamento cybersecurity dell’azienda cliente,
- Identificazione delle eventuali esclusioni ammissibili da documentare,
- individuazione dei gap da risolvere a fronte di eventuali criticità e non conformità.
Deliverables:
- Rapporto del livello di adeguatezza dei requisiti normativi e dei controlli di sicurezza
- Elenco delle area di adeguamento e miglioramento
-
PIANO DI RIENTRO: ANALISI DEI RISCHI, POLICY E PROCEDURE , CONTROMISURE TECNOLOGICHE
Questa fase è a carico dell'organizzazione cliente.
-
GAP ANALYSIS FOLLOW UP
Una volta attuate tutte le contromisure da parte dell’organizzazione cliente, CSQA svolge un attività di Follow UP rispetto ai GAP evidenziati nella prima fase e restituisce un report evidenziando la nuova postura di Cyber dell’organizzazione.
Deliverables:
Rapporto del livello dello stato del livello di adeguatezza delle azioni di miglioramento implementate.
-
FORMAZIONE CYBER A TUTTO IL PERSONALE
Se nella prima fase la formazione di CSQA è rivolta al Top Management e ai primi livelli, nella seconda fase la formazione è indirizzata a tutto il personale con l’obiettivo di fornire ai partecipanti competenze pratiche per valutare e affrontare i rischi di cybersecurity a fronte di minacce nei confronti di organizzazioni pubbliche e private, nonché dell’intera catena di approvvigionamento nei rapporti con i fornitori.
-
MONITORAGGIO AUDIT INTERNI
Questa fase è a carico dell'organizzazione cliente.
-
VERIFICA DELLA SICUREZZA CYBER DELLA SUPPLY CHAIN
La strategia nazionale per la cybersicurezza prevede la verifica della sicurezza informatica lungo la catena di approvvigionamento dei prodotti e dei servizi TIC.
CSQA svolge audit di II parte con l'obiettivo di verificare :
- rispetti i requisiti di cybersecurity stabiliti nel contratto,
- definisca i requisiti per la sicurezza delle informazioni,
- assicuri la protezione degli asset aziendali accessibili,
- formalizzi documenti contrattuali nei quali siano riportati i requisiti di sicurezza richiesta.
CSQA svolge sia la verifica della documentazione contrattuale esistente, eseguendo un’ispezione documentale, sia un audit in campo presso i fornitori che prevede anche interviste al personale coinvolto con l’obiettivo di verificare il rispetto delle policy cyber definite dal committente in fase contrattuale.
L'output delle attività di ispezione evidenzierà il livello di conformità del fornitore rispetto al contratto stipulato e il rispetto delle policy e procedure cyber condivise alla stipula del contratto.
-
RILASCIO DELLE CERTIFICAZIONI ISO 27001 E ISO 22301
CSQA raccomanda l’importanza delle certificazioni secondo i due standard ISO/IEC 27001 e ISO 22301, che, oltre a facilitare il rispetto dei requisiti NIS 2, più in generale per i clienti rappresentano:
framework a disposizione delle organizzazioni per fronteggiare e soprattutto prevenire i rischi cyber in continua evoluzione,
prove tangibili di compliance in termini di adeguatezza delle misure tecnologiche ed organizzative adottate in un’ottica di resilienza informatica.
Le certificazioni ISO 27001 e ISO 22301 non sono obbligatorie ma rappresentano una prova tangibile di compliance in termini di adeguatezza delle misure tecniche ed organizzative adottate e di resilienza informatica.
Verifica se la NIS 2 si applica alla tua organizzazione
RICHIEDI GRATUITAMENTE
