NIS2 e regolamento Cloud

Gestisci efficacemente l’emergenza di conformità della tua organizzazione

A livello comunitario e nazionale è in corso un grande lavoro di normalizzazione e standardizzazione della Cybersecurity. L’obiettivo è rendere i servizi digitali più resilienti e aumentare la fiducia degli utenti, soprattutto grazie all’introduzione del Regolamento Cloud e della NIS2.

Siete pronti a far fronte ai requisiti e alle complessità dettate dalle nuove normative?

I requisiti

PSNC – Regolamento Cloud

Analisi dei rischi
Incident Management
Terze Parti – Supply Chain
Continuità operativa
Gestione vulnerabilità
Policy & Procedure
Formazione & Awareness
Asset Management
Data Security Operation
(SbD, SOC, Infrastrutture Sec)

NIS2

Analisi dei rischi
Incident Management
Terze Parti – Supply Chain
Continuità operativa
Gestione vulnerabilità
Policy & Procedure
Formazione & Awareness
Data Security Operation
(SbD, SOC, Infrastrutture Sec)

Gli attori coinvolti

HYPERSCALER

IMPRESE

CLOUD SERVICE PROVIDER

Cosa richiede la normativa italiana?

REGOLAMENTO CLOUD

Il 18 gennaio 2022 l’Agenzia per la Cybersicurezza Nazionale ha adottato la Determina n. 307/2022 che definisce, mediante specifici allegati, i requisiti minimi e le caratteristiche che devono assicurare le infrastrutture digitali e i servizi cloud di cui si avvalgono le Pubbliche Amministrazioni. Il percorso di qualificazione dei servizi e delle infrastrutture è sfidante e complesso e prevede l’esecuzione di step obbligatori nel rispetto di deadline stringenti.

Percorso di adeguamento

CLASSIFICAZIONE DEI DATI/SERVIZI

Tutte le Pubbliche Amministrazioni devono classificare i dati e servizi digitali sulla base di tre livelli definiti (ordinari, critici, strategici) secondo il modello predisposto da ACN e comunicare il livello ai propri fornitori.

ADEGUAMENTO INFRASTRUTTURA E SERVIZI

Le aziende che intendono qualificarsi devono soddisfare requisiti sulla base della classificazione dei dati trattati. Il numero dei requisiti è incrementale rispetto al livello precedente.

Ordinari
Critici
Strategici

QUALIFICAZIONE

Le aziende richiedono la qualificazione tramite il portale ACN. Una volta completato il processo, le infrastrutture/servizi qualificate sono inserite nel Catalogo ACN, disponibile sul sito dell’Agenzia.

Elementi di complessità

+150 Requisiti di sicurezza da soddisfare
+50 Politiche di sicurezza da definire
+80 Processi di sicurezza da implementare
+20 Tecnologie di sicurezza da adottare

Cosa richiede la normativa comunitaria?

NIS2

L’obiettivo della revisione della Direttiva NIS è da un lato uniformare l’applicazione a livello EU della direttiva, dall’altro estendere in modo significativo la platea di soggetti coinvolti.

Gli obblighi per le entities

Misure di gestione del rischio cyber

Notifica degli incidenti

Sensibilizzazione e ruolo del Management

I soggetti coinvolti

Rientrano nel campo di applicazione della NIS 2.0 medie / grandi imprese che operano nei seguenti settori:

HIGHLY CRITICAL

Energia
Trasporti
Banking
Mercati Finaziari
Sanitario
Drinking Water
Waste Water
Digital Infrastructure
ICT Service Management

CRITICAL

Pubbliche Amministrazioni
Space
Operatori Postali
Ambienti e rifiuti
Produzione e distribuzione Chemicals
Produzione, lavorazione e distribuzione di prodotti alimentari
Manufacturing
Digital Providers
Ricerca

Roadmap di conformità alla Direttiva NIS 2

Identificazione dello scope

Identificazione delle Legal Entities (in particolari per i grandi gruppi) in scope sulla base dei parametri oggettivi forniti dalla Direttiva
Identificazione preliminare del perimetro di processi e tecnologie coinvolte

Assessment Direttiva NIS 2.0

Verifica presidi di Cyber Risk Management
Verifica presidi di Detect & Respond
Verifica awareness e governance Top Management

Remediation Plan

Le organizzazioni devono implementare gli obblighi richiesti dalla NIS 2 in linea con i dettami della direttiva e delle leggi di recepimento negli Stati Membri.

Il nostro approccio

I nostri servizi e soluzioni per la conformità

Considerando l’elevato numero di requisiti da implementare e di aziende coinvolte nel percorso di compliance, è necessario adottare un approccio industriale che sia snello, semplice e veloce.

Le nostre soluzioni sono in grado di semplificare il percorso che le aziende interessate da queste nuove normative dovranno svolgere per rispettare i requisiti imposti dal legislatore e dei servizi gestiti in grado di mitigare i rischi di minacce cyber e rispondere in modo rapido ed efficace nell’eventualità di incidente/attacco.

Servizi

Organizzazione e Processi

Definizione di regole aziendali che consentono rispondere alle normative. Definizione degli aspetti organizzativi ed operativi necessari per l’implementazione dei requisiti. Adozione di un approccio basato sul rischio per identificare le misure di sicurezza da implementare

Risk Management

Cyber Resilence

Supply Chain Security

Security Accademy

Security by Design

Tecnologie

Supporto nell’adozione degli strumenti tecnologici in grado di innalzare il livello di protezione e migliorare la rilevazione e reazione alle minacce cyber.

Cloud Security

Zero Trust Architecture

OT & Industrial Cybetsecurity

Identity Management

Application & API Scurity

Data Security

PKI & Encryption

Endpoint Security (EDR, XDR)

SIEM and SOAR

Servizi Operativi

Servizi ad elevata specializzazione per la analisi delle minacce in contesti specifici e la gestione operativa di tutti i sistemi di protezione, anche in caso di Incidenti.

Vulnerability Management

Threat Intelligence

Penetration Test

Malware Analysis

Fornesics Analisys

Red Teaming

Incident Response