La direttiva NIS2 fornisce una normativa a livello dell'UE sulla cybersicurezza. La NIS2 è un aggiornamento della versione precedente della direttiva NIS (Network and Information Security). Il suo obiettivo è creare un comune livello di cybersicurezza in tutti gli Stati membri dell'Unione europea. Come il GDPR (General Data Protection Regulation), la direttiva NIS2 si propone di armonizzare le misure e gli approcci negli Stati membri dell'UE per proteggere le infrastrutture digitali, in questo caso, le best practice per affrontare il crescente assalto di attacchi informatici.
Gli attacchi informatici come i ransomware e le violazioni dei dati hanno un impatto crescente sulle organizzazioni e sulle imprese in tutta l'UE. L'ENISA, l'agenzia dell'Unione europea per la cybersicurezza , ha pubblicato un rapporto sul panorama delle minacce avvertendo che nuove forme di phishing e di exploit zero-day vengono utilizzati in modo efficace per attaccare organizzazioni in tutta l'UE. Con un ampio campo di applicazione, la NIS2 mira a migliorare la cybersicurezza in "entità essenziali e importanti" all'interno di settori critici, come energia, retail, trasporti, banche, sanità, pubblica amministrazione, ecc. La direttiva riguarda anche la sicurezza della supply chain e dei fornitori di servizi a livello transfrontaliero.
La NIS2 è entrata in vigore il 16 gennaio 2023. Gli Stati membri dell'UE hanno tempo fino al 17 ottobre 2024 per integrare la NIS2 nel proprio diritto nazionale, rendendola, pertanto, effettiva.
La NIS2 impone l’implementazione di controlli di sicurezza olistici e rigorosi per ridurre i rischi e prevenire danni di cybersicurezza a sistemi e dati. I requisiti comprendono un'ampia gamma di sistemi e risorse IT, inclusa la protezione degli ambienti IT da ransomware, phishing e accesso non autorizzato.
Le soluzioni per la sicurezza di Akamai forniscono intelligence e protezione end-to-end per proteggere la tecnologia operativa (OT) delle infrastrutture critiche, i sistemi IT e i dati da violazioni, incidenti di sicurezza, infezioni da malware ed esposizione accidentale dei dati. La piattaforma di sicurezza di Akamai offre la sicurezza dinamica necessaria per applicare i principi Zero Trust alla protezione dei dati in un'organizzazione.
Akamai aiuta i vostri team di sicurezza a massimizzare l'efficacia e il ROI dei vostri investimenti nella sicurezza andando oltre il tradizionale rilevamento degli endpoint, per fornire una potente soluzione Zero Trust per la sicurezza e la privacy dei dati.
Akamai offre:
L'articolo 21 della direttiva NIS2 sottolinea che gli enti interessati devono gestire il rischio informatico utilizzando "misure tecniche e organizzative adeguate e proporzionate". Queste misure includono quanto segue:
La NIS2 si applica a qualsiasi azienda che opera nell'UE, compresi "tutti gli enti pubblici e privati nel mercato interno, che svolgono funzioni importanti per l’economia e la società nel suo insieme", che "sono tenuti ad adottare adeguate misure di sicurezza informatica".
La direttiva divide le "entità interessate" in due tipologie: entità essenziali (EE) ed entità importanti (IE). La differenza tra le due classi per quanto riguarda la conformità è che le entità essenziali sono soggette a requisiti normativi più rigorosi per il monitoraggio della conformità, obblighi di segnalazione degli incidenti e misure di applicazione dei sistemi informativi. Esempi di ciascun tipo di entità includono:
Entità che operano nei seguenti settori possono essere considerate essenziali (EE):
Entità che operano nei seguenti settori possono essere considerate importanti (IE):
Esempi di tre settori interessati da NIS2 sono:
Sanità - L’assistenza sanitaria è un servizio essenziale nell’ambito della NIS2; pertanto, un’entità sanitaria deve aderire ai rigorosi requisiti normativi NIS2, comprese le misure di gestione del rischio che mitigano i rischi informatici e prevengono danni ai sistemi e ai dati IT. Inoltre, la gestione degli incidenti, la cybersicurezza della supply chain, la sicurezza della rete, il controllo degli accessi e la crittografia dei dati sono requisiti fondamentali. L'utilizzo delle soluzioni Zero Trust può aiutare servizi essenziali come le organizzazioni sanitarie a rispettare questi rigorosi requisiti di sicurezza. Il modello Zero Trust aiuta a ridurre i tempi di conformità utilizzando meno risorse per ottenere una solida sicurezza su reti e supply chain estese.
Retailer - Il rapporto Sophos del 2022 sullo stato del ransomware nel settore retail individua una tendenza all'aumento delle minacce rivolte al settore retail; il rapporto ha rilevato che il 77% dei retailer ha subito un attacco ransomware nel 2021. La NIS2 identifica esplicitamente "produzione, trasformazione e distribuzione alimentare" e "fornitori di mercati online"" come "servizi importanti". Pertanto, molte operazioni di vendita al dettaglio rientreranno nell’ambito della conformità NIS2. Adottando la sicurezza Zero Trust, un'azienda del settore retail può avvalersi di una copertura completa del proprio ambiente IT; una visibilità approfondita su risorse, accessi e flussi di rete; e un'applicazione granulare delle policy di sicurezza. Utilizzando questo approccio globale, un rivenditore può soddisfare molti requisiti per garantire la conformità alla NIS2.
Fornitori e provider di servizi di terze parti - Gartner prevede che entro il 2025, il 45% delle organizzazioni in tutto il mondo subirà attacchi alle supply chain dei software. La supply chain è un obiettivo perfetto per gli hacker che tentano di infiltrarsi all'interno di un'impresa. La NIS2 gestisce questo rischio di cybersicurezza con rigorosi requisiti di gestione del rischio per la supply chain per le principali tecnologie dell’informazione e della comunicazione. La NIS2 richiede un approccio proattivo alla gestione del rischio della supply chain, compresa la valutazione della qualità delle pratiche di cybersicurezza dei propri fornitori. I fornitori di terze parti dovrebbero utilizzare un modello di sicurezza Zero Trust per garantire di disporre di misure di sicurezza complete che garantiscano, ad esempio, l’applicazione dell’accesso con privilegi minimi.
La NIS2 impone l'applicazione di una serie di misure di cybersicurezza e attività di gestione del rischio. Le misure includono il controllo degli accessi e l’applicazione dei privilegi minimi, una solida autenticazione multifattore e misure per scoraggiare, rilevare o prevenire codice dannoso, come il ransomware. La suite di soluzioni Akamai è progettata per fornire un modello di sicurezza Zero Trust al fine di supportare i clienti nell'intento di fermare la diffusione di ransomware e altri attacchi avanzati. Akamai aiuta a proteggere le organizzazioni dalle vulnerabilità, compresi i maggiori rischi derivanti dal cloud computing e da una forza lavoro distribuita.
La NIS2 è una direttiva UE fornisce una normativa armonizzata a livello dell'UE sulla cybersicurezza. La direttiva NIS2, o Network and Information Security (NIS)2, è un aggiornamento della precedente normativa NIS.
La NIS2 si applica alle organizzazioni che operano nell'Unione europea in 11 settori essenziali e sette settori importanti. Le entità interessate sono tenute in base alla NIS2 a rispettare le normative per proteggere i propri sistemi dagli attacchi informatici e a garantire di disporre di solidi piani di risposta agli incidenti. Ulteriori dettagli sui settori che rientrano nelle due categorie sono riportati nella versione completa della direttiva NIS2.
Come per il GDPR, la mancata conformità alla NIS2 comporta sanzioni salate. Ad esempio, l'articolo 34 della direttiva NIS2 prevede le seguenti sanzioni per la mancata conformità:
Entità essenziali: almeno fino a 10 milioni di euro o al 2% del fatturato annuo mondiale
Entità importanti: almeno fino a 7 milioni di euro o all'1,4% del fatturato annuo mondiale
L'articolo 23 della direttiva NIS2 prevede norme rigorose in materia di segnalazione delle violazioni informatiche. Il regolamento prevede che la notifica di violazione venga effettuata "senza indebito ritardo". La notifica deve essere emessa entro 24 ore dalla consapevolezza di un incidente significativo ("avviso tempestivo") e occorre fornire una valutazione iniziale entro 72 ore. Questa regola vale anche qualora non vi sia indicazione dei dati personali esposti.
L'articolo 23 della NIS ha previsto l'obbligo di garantire che la Direttiva venga regolarmente rivista per tenere conto dei picchi di attacchi informatici, della trasformazione digitale e delle interruzioni dovute alla pandemia e allo smart working. Ne è risultata una Direttiva aggiornata, la NIS2. Le modifiche alla nuova versione includono l'ampliamento dell'ambito di entità, incluse l'estensione a tutte le aziende di medie e grandi dimensioni nei settori compresi e alle organizzazioni più piccole ad alto rischio. La NIS2 si concentra su un approccio alla sicurezza basato sul rischio, includendo aree quali la continuità aziendale e la gestione delle crisi, la gestione delle vulnerabilità e la divulgazione e l’autenticazione multifattore.
A sostegno e protezione della vita online c'è sempre Akamai. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Akamai Connected Cloud, una piattaforma edge e cloud ampiamente distribuita, avvicina le app e le experience agli utenti e allontana le minacce.
