L’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) ha pubblicato un’importante bozza di documento contenente le linee guida tecniche per supportare le organizzazioni nella gestione delle misure di sicurezza informatica, in conformità alla Direttiva NIS2 e al Regolamento di esecuzione (UE) 2024/2690, emesso dalla Commissione Europea il 17 ottobre 2024.
La guida ENISA è rivolta a una vasta gamma di organizzazioni, tra cui fornitori di servizi cloud, registri di domini di primo livello (TLD), provider di reti di distribuzione di contenuti, marketplace online e piattaforme di social network, per garantire che siano ben equipaggiate per proteggere i loro sistemi di rete e informazioni.
L’ENISA invita ora tutte le organizzazioni e i professionisti coinvolti a fornire un feedback su questo documento, che è disponibile in versione bozza per la consultazione pubblica, potendo inviare il proprio feedback entro e non oltre il 9 dicembre 2024, alle ore 18.00. La partecipazione è considerata essenziale per migliorare la guida e assicurare che risponda alle esigenze di tutte le parti interessate in Europa.
Indice degli argomenti
NIS2: obiettivi della guida tecnica ENISA
Il cuore della guida ENISA è offrire alle organizzazioni un insieme di suggerimenti pratici e un supporto concreto per implementare i requisiti di cyber sicurezza previsti dal NIS2, facilitando il rispetto dei nuovi standard.
La guida si propone di rendere più chiari e attuabili i requisiti tecnici e metodologici, attraverso consigli pratici, esempi e suggerimenti.
La struttura della guida si concentra su quattro elementi fondamentali per ogni requisito di sicurezza:
- Indicazioni pratiche su come attuare un requisito o su aspetti critici da considerare.
- Esempi di prove di conformità, che aiutano a dimostrare la conformità con le norme richieste.
- Suggerimenti supplementari che spingono le organizzazioni a considerare aspetti aggiuntivi per rafforzare ulteriormente la sicurezza.
- Mappature con standard internazionali come ISO/IEC e NIST, oltre a framework nazionali, per facilitare l’integrazione dei requisiti.
Questa guida è stata preparata in collaborazione con la Commissione Europea e il Gruppo di Cooperazione NIS. Essendo un documento vivo, sarà rivisto regolarmente per restare al passo con l’evoluzione degli standard e delle normative internazionali.
Punti salienti del documento
La guida copre tredici aree tematiche principali, ciascuna delle quali rappresenta un pilastro della cybersicurezza moderna e contiene specifici requisiti tecnici e metodologici.
Ecco i punti chiave:
- Policy sulla sicurezza dei sistemi di rete e informazione: questa policy generale è la base della sicurezza informatica e fornisce una visione strategica sull’approccio dell’organizzazione alla gestione della sicurezza. Essa richiede l’impegno attivo della direzione e include obiettivi di sicurezza, una chiara allocazione delle risorse (come personale, tecnologie e budget) e la definizione dei ruoli e delle responsabilità. Gli obiettivi devono essere complementari alla strategia di business dell’organizzazione, promuovendo un miglioramento continuo della sicurezza e una comunicazione efficace sia interna sia con i partner esterni.
- Gestione del rischio: in questo punto la guida invita le organizzazioni a stabilire un quadro strutturato per identificare, valutare e trattare i rischi che potrebbero minacciare i sistemi informativi. È richiesta l’adozione di un piano di trattamento del rischio, il quale deve includere dettagli sui rischi identificati, le misure per mitigarli e il piano di monitoraggio dei progressi. Inoltre, i rischi residui devono essere approvati dalla direzione, e si consiglia di valutare periodicamente i rischi e rivedere il piano di gestione per rispondere a nuovi scenari o cambiamenti tecnologici.
- Gestione degli incidenti: la guida richiede che le organizzazioni adottino una politica per la gestione degli incidenti informatici. Questa politica deve includere un sistema di categorizzazione degli incidenti, un piano di comunicazione efficace per l’escalation e il reporting, e procedure operative per rilevare, analizzare, contenere e rispondere agli incidenti in modo tempestivo. Sono previsti anche piani di recupero e moduli per documentare e segnalare ogni incidente in modo dettagliato. La collaborazione e il coinvolgimento della direzione sono fondamentali per una gestione efficace degli incidenti.
- Continuità operativa e gestione delle crisi: per garantire che le operazioni possano continuare durante e dopo un incidente, la guida suggerisce l’adozione di un piano di continuità operativa e di recupero dati. Questo piano è cruciale per riprendere le attività normali rapidamente in caso di eventi critici e deve includere una strategia di backup e procedure di gestione delle crisi per assicurare che ogni evenienza venga affrontata in modo organizzato e rapido.
- Sicurezza della catena di fornitura: le organizzazioni sono sempre più dipendenti da fornitori esterni, il che aumenta la superficie di rischio. Per questo motivo, la guida dedica un’attenzione particolare alla sicurezza della catena di fornitura, richiedendo una policy specifica che affronti i rischi associati a fornitori e terze parti. La guida raccomanda di tenere un elenco aggiornato dei fornitori, valutare i rischi associati a ciascuno di essi e stabilire contratti con vincoli di sicurezza per ridurre le vulnerabilità.
- Igiene informatica di base e formazione: la guida incoraggia l’adozione di pratiche di cyber igiene di base e di programmi di formazione continua per sensibilizzare i dipendenti sulla sicurezza informatica. L’obiettivo è migliorare la consapevolezza dei rischi e promuovere una cultura della sicurezza, responsabilizzando il personale in tutti i livelli dell’organizzazione e riducendo la probabilità di incidenti causati da errori umani.
- Cifratura e controllo degli accessi: tra le misure tecniche più importanti troviamo l’utilizzo della crittografia e l’autenticazione a più fattori per proteggere i dati e controllare gli accessi. La guida invita a implementare policy dettagliate per la cifratura dei dati sensibili e a sviluppare sistemi di autenticazione avanzati per garantire che solo gli utenti autorizzati possano accedere ai sistemi critici.
- Ruoli e responsabilità: le organizzazioni devono chiarire ruoli e responsabilità per la sicurezza informatica, assicurando che i compiti non siano in conflitto e che ci siano controlli adeguati per evitare errori o abusi. I ruoli chiave dovrebbero essere chiaramente documentati e comunicati a tutto il personale.
Importanza della consultazione pubblica
ENISA riconosce che la sicurezza informatica è una sfida complessa e diversificata, che richiede adattamenti specifici per rispondere alle diverse esigenze e risorse delle organizzazioni.
Con questa consultazione pubblica, l’ENISA intende raccogliere opinioni, suggerimenti e osservazioni da tutti gli stakeholder, incluse le piccole e medie imprese e i professionisti del settore. Il feedback raccolto aiuterà ENISA a finalizzare una guida che sia il più efficace possibile, affinché le organizzazioni possano rispettare gli standard di sicurezza del NIS2 in modo sostenibile e pratico.
Gli interessati possono trovare il documento di guida sul sito di ENISA e inviare il loro feedback fino alla scadenza della consultazione.
L’opportunità di contribuire a questa guida rappresenta un passo importante per costruire una comunità europea più sicura e resiliente di fronte alle minacce informatiche.