Contenuto del corso
Introduzione: cos’è la NIS 2
Introduzione alla direttiva 2022/2555 - NIS 2
0/1
1. Cos’è la NIS 2
07:31
Politica sulla sicurezza dei sistemi informativi
0/1
2. Politica sulla sicurezza dei sistemi informativi
04:08
Passi per l’implementazione
0/1
3. Passi per l’implementazione
09:15
Standard e certificazioni
0/1
4 – Standard e certificazioni
08:28
Autorità Nazionali ed Europee
0/1
5 – Autorità Nazionali ed Europee
07:46
Applicabilità
0/1
6 – Applicabilità
05:53
Requisiti di cybersicurezza
0/1
7 – Requisiti di cybersicurezza
04:28
Incidenti e gestione delle crisi
0/1
8 – Incidenti e gestione delle crisi
03:48
Sicurezza della catena di fornitura
0/1
9 – Sicurezza della catena di fornitura
03:46
Obblighi di reporting
0/1
10 – Obblighi di reporting
10:57
Applicazione
0/1
11 – Applicazione
07:25
Training NIS 2
Informazioni sulla lezione

Passaggi per l’Implementazione di NIS2

Essere conformi con regolamenti complessi non è facile, ma una strategia sensata e un piano chiaro possono rendere le cose più semplici. Questo video presenta le migliori pratiche per un progetto di conformità a NIS 2, attingendo dall’esperienza della ISO 27001 e quadri normativi di cybersicurezza simili.

I 15 passaggi raccomandati sono:

Passaggio 1

Ottenere il supporto della dirigenza senior e assicurare risorse adeguate.

Organizzare un briefing per l’amministratore delegato e prenotare uno slot all’ordine del giorno del consiglio per spiegare cosa sta succedendo e rispondere a qualsiasi domanda. Anche se la NIS 2 è obbligatorio per le organizzazioni essenziali e importanti, dovrai convincere i dirigenti che questo è qualcosa di valido da prioritizzare, un investimento sano e necessario. Non si tratta solo di evitare multe e altre sanzioni, ma è una questione commerciale, un’opportunità per rendere l’organizzazione più sicura e resiliente.

Passaggio 2

Determinare e istituire adeguate disposizioni di governance e gestione del progetto per l’implementazione di NIS 2.

Data la portata, quantità e significatività del lavoro coinvolto, è opportuno chiarire e rafforzare i legami tra i dirigenti che forniscono direzione e supervisione e il team che esegue il lavoro, con regolari rapporti di progresso NIS 2 e riunioni di gestione, per esempio, guidando il progetto a una conclusione di successo in tempo e nei limiti del budget.

Passaggio 3

Avviare la formazione iniziale sulla cybersicurezza.

L’implementazione scorrerà più agevolmente se coloro che sono coinvolti, in particolare coloro che dirigono e gestiscono, avranno una solida comprensione di cosa è NIS 2, cosa deve essere fatto e perché.

Passaggio 4

Scrivere una politica di livello superiore sulla sicurezza dei sistemi informativi, fornendo direzione generale e linee guida riguardanti gli obiettivi chiave per la cybersicurezza, i principali ruoli e responsabilità, e come verrà misurato il successo nel raggiungimento degli obiettivi.

Passaggio 5

Determinare il metodo per la gestione dei rischi informatici a un livello alto.

Questo comporta la scrittura della metodologia di valutazione dei rischi che definisce i metodi, i ruoli e i criteri per valutare e trattare i rischi.

Passaggio 6

Eseguire la valutazione e il trattamento dei rischi per scoprire e affrontare ciò che potrebbe mettere a repentaglio i tuoi sistemi informativi.

Questo di solito comporta l’elenco dei beni con le relative minacce e vulnerabilità, quindi quantificare i rischi valutando sia la loro probabilità che la gravità o l’impatto in caso di incidenti.

Passaggio 7

Preparare un piano concreto di trattamento del rischio che dettagli come le necessarie misure di cybersicurezza, attività, processi e tecnologie saranno implementate. Come, quando e da chi.

Ottenere l’esplicita approvazione o autorizzazione della dirigenza senior del piano migliora sostanzialmente le possibilità di successo.

Passaggio 8

Implementare misure di cybersicurezza come nuovi, aggiornati o processi rafforzati, attività e tecnologie di sicurezza in conformità alla valutazione dei rischi.

Assicurati di coprire tutte le misure di cybersicurezza specificate nell’Articolo 21, ma anche di aggiungere altre misure basate sulla tua valutazione dei rischi. Prepara documentazione come politiche e procedure di cybersicurezza, chiarendo le regole e fornendo prove dello stato di implementazione di NIS 2.

Passaggio 9

Integrare la cybersicurezza nella gestione delle relazioni con i fornitori e i prestatori di servizi.

Estendere la valutazione dei rischi nel Passaggio 6 per coprire i fornitori. Selezionare solo fornitori affidabili, includere clausole di sicurezza nei contratti e negli accordi e monitorare la loro postura di sicurezza. Valutare le loro vulnerabilità e studiare le loro procedure di sviluppo software. Quando gli hacker hanno attaccato un fornitore di componenti nel 2022, 28 linee di produzione di Toyota sono state interrotte in 14 stabilimenti giapponesi, ritardando la produzione di 13.000 auto. L’anno successivo, il braccio dei servizi finanziari di Toyota è stato colpito da un incidente informatico di un fornitore. Tali incidenti informatici della catena di fornitura ampiamente pubblicizzati sono solo la punta dell’iceberg, tuttavia, molti altri rimangono non segnalati. Praticamente ogni grande incidente informatico ha conseguenze avverse per i partner della catena di fornitura, in particolare per i clienti dipendenti dalle organizzazioni compromesse.

Passaggio 10

Iniziare a valutare l’efficacia della cybersicurezza.

NIS 2 richiede che la dirigenza senior sovrintenda l’implementazione delle misure di cybersicurezza. La migliore pratica coinvolge la misurazione e il monitoraggio continuo della cybersicurezza per individuare eventuali deviazioni. Preparare documenti come una metodologia di misurazione, una procedura di audit interno e una procedura di revisione della gestione, fornendo una chiara guida.

Passaggio 11

Stabilire un processo di segnalazione degli incidenti per notificare il CSIRT o l’autorità competente e i destinatari dei servizi tempestivamente sugli incidenti significativi.

NIS 2 specifica un primo avviso, una notifica di incidente, un rapporto intermedio, un rapporto finale e un rapporto di progressione.

Passaggio 12

Estendere la formazione sulla cybersicurezza per coprire tutti i dipendenti, inclusa la dirigenza senior.

NIS 2 richiede specificamente una formazione regolare. Pur potendo essere difficile sviluppare approcci di formazione economicamente efficaci, un programma di consapevolezza continuo che copra una sequenza pianificata di argomenti rilevanti è un buon modo per aumentare e mantenere una conoscenza e un’apprezzazione sufficienti delle esigenze.

Passaggio 13

Condurre audit interni periodici, fornendo alla dirigenza senior la supervisione dell’implementazione delle misure di cybersicurezza, inclusi eventuali non conformità o altre questioni.

Passaggio 14

Condurre revisioni periodiche della gestione affinché la dirigenza senior possa supervisionare se l’organizzazione soddisfa i propri obblighi ai sensi della direttiva UE.

Una revisione della gestione è una riunione formale in cui i dirigenti senior considerano rapporti rilevanti riguardanti la cybersicurezza, prendendo e rivedendo i progressi dell’organizzazione su decisioni strategiche e piani. Potrebbe essere appropriato, per esempio, sollevare azioni correttive, cambiare ruoli e responsabilità chiave, stabilire nuovi obiettivi di sicurezza o affinare il budget per la cybersicurezza.

Passaggio 15

Eseguire azioni correttive sistematicamente risolvendo le non conformità.

Idealmente, questo significa identificare ed eliminare le cause principali per assicurarsi che non si ripetano simili non conformità.

I punti chiave appresi da questo video riguardanti i 15 passaggi dettagliati:

  • Mettere la conformità a NIS 2 in primo piano.
  • Avviare un programma di consapevolezza che copra le basi dei rischi informatici e delle esigenze di conformità è un ottimo modo per impostare la scena e far partire le cose, in particolare per la gestione.
  • Ottenere il supporto del management.
  • Utilizzare gli obblighi di conformità di NIS 2 e le scadenze per fare progressi reali laddove è necessario e appropriato.
  • Prioritizzare il lavoro in base ai rischi, spiegando le opzioni in dettaglio sufficiente affinché la gestione prenda decisioni aziendali, come chiarire gli obiettivi e allocare le risorse.
  • Gestire attivamente il cambio di ambito e le modifiche.
  • Insistere su una nuova pianificazione, aggiustamenti di budget e una nuova approvazione se vengono apportate modifiche al programma.
Precedente
Successivo