Contenuto del corso
Introduzione: cos’è la NIS 2
Introduzione alla direttiva 2022/2555 - NIS 2
0/1
1. Cos’è la NIS 2
07:31
Politica sulla sicurezza dei sistemi informativi
0/1
2. Politica sulla sicurezza dei sistemi informativi
04:08
Passi per l’implementazione
0/1
3. Passi per l’implementazione
09:15
Standard e certificazioni
0/1
4 – Standard e certificazioni
08:28
Autorità Nazionali ed Europee
0/1
5 – Autorità Nazionali ed Europee
07:46
Applicabilità
0/1
6 – Applicabilità
05:53
Requisiti di cybersicurezza
0/1
7 – Requisiti di cybersicurezza
04:28
Incidenti e gestione delle crisi
0/1
8 – Incidenti e gestione delle crisi
03:48
Sicurezza della catena di fornitura
0/1
9 – Sicurezza della catena di fornitura
03:46
Obblighi di reporting
0/1
10 – Obblighi di reporting
10:57
Applicazione
0/1
11 – Applicazione
07:25
Training NIS 2
Informazioni sulla lezione

Standard e Certificazione NIS 2

L’Articolo 24 sull’uso degli schemi europei di certificazione della cybersicurezza e l’Articolo 25 sulla standardizzazione mirano a potenziare la disponibilità e l’adozione di tecnologie dell’informazione e della comunicazione sicure all’interno dell’Unione Europea.

I requisiti di certificazione sono rilevanti per soluzioni IT come i router di rete, servizi come la gestione e la risposta agli incidenti, e processi come quelli coinvolti nello sviluppo di soluzioni sicure.

La standardizzazione riguarda l’uso di standard europei, nazionali e internazionali e specifiche tecniche rilevanti per la cybersicurezza come la certificazione ISO/IEC 27001, che comporta valutazioni di conformità obiettive e competenti rispetto a criteri specificati come quelli stabiliti da ENISA, l’Agenzia europea per la cybersicurezza.

La NIS 2 stessa non impone l’uso della certificazione. Tuttavia, gli stati membri dell’UE e la Commissione Europea possono richiedere che le organizzazioni essenziali e importanti utilizzino servizi, prodotti e processi IT certificati.

Oltre ad ottenere l’accesso a mercati così vincolati, la certificazione può anche fornire vantaggi commerciali alle aziende dimostrando un livello assicurato di sicurezza per le loro soluzioni IT grazie ai rigorosi test di conformità coinvolti negli schemi di certificazione. Al contrario, soluzioni IT non certificate potrebbero perdere opportunità commerciali se i clienti richiedono, preferiscono o esigono la certificazione.

Secondo ENISA, uno schema europeo di certificazione della cybersicurezza è un insieme completo di regole, requisiti tecnici di cybersicurezza, standard e procedure di valutazione definiti a livello dell’UE e applicabili alla certificazione di prodotti, servizi o processi ICT specifici. Un certificato di cybersicurezza dell’UE attesta che un prodotto, processo o servizio ICT è stato certificato in conformità con tale schema e che rispetta i requisiti e le regole di cybersicurezza specificate.

La certificazione della cybersicurezza è compito degli organismi di valutazione della conformità accreditati dalle autorità nazionali dell’UE. I certificati validi per almeno cinque anni sono pubblicati da ENISA su un sito web dedicato che forma un riferimento definitivo.

Diversi schemi di certificazione della cybersicurezza dell’UE sono in corso. Lo schema EUCC, una versione europea dei criteri comuni internazionali esistenti, è già pubblicato. L’EUCC è un approccio formale per determinare, specificare, fornire e garantire la sicurezza informatica di hardware, software e componenti IT.

Un altro schema chiamato European Certification Scheme for Cloud Services mira a migliorare il mercato interno dell’UE per i servizi cloud migliorandone e razionalizzandone la cybersicurezza. Lo schema EUCS dovrebbe armonizzare la sicurezza dei servizi cloud con le normative dell’UE, gli standard internazionali, le pratiche industriali e le certificazioni esistenti negli stati membri dell’UE.

Inoltre, lo schema di certificazione della cybersicurezza europea per il 5G mira a specificare misure di cybersicurezza per i servizi e le apparecchiature cellulari 5G. In seguito alla pubblicazione del regolamento dell’UE sull’intelligenza artificiale, è in fase di considerazione un quarto schema di certificazione della cybersicurezza dell’UE per l’IA.

Oltre alla certificazione, l’Articolo 25 del NIS 2 richiede agli stati membri di incoraggiare l’uso di standard europei e internazionali e specifiche tecniche rilevanti per la cybersicurezza. La serie di standard ISO/IEC 27000 è menzionata nel preambolo del NIS 2, e lo standard più importante di questa serie è l’ISO/IEC 27001, uno standard globale leader per la gestione della cybersicurezza.

Il sistema di gestione della sicurezza delle informazioni, secondo l’ISO/IEC 27001, costituisce un quadro di governance per identificare, valutare e trattare i rischi informatici in modo sistematico e flessibile con un miglioramento continuo attraverso l’implementazione di politiche, procedure, pratiche e controlli di cybersicurezza che riflettono i rischi informatici. L’ISO/IEC 27001 è applicabile a qualsiasi organizzazione.

Un approccio standardizzato, sistematico e rigoroso fornisce diversi vantaggi per gli stakeholder. Per i clienti, la certificazione e la standardizzazione aumentano la fiducia nelle capacità di cybersicurezza delle soluzioni IT che stanno considerando di acquisire e utilizzare. Inoltre, le certificazioni spesso specificano funzionalità che migliorano la sicurezza, come configurazioni sicure, controllo dell’accesso basato sui ruoli e meccanismi di crittografia. Questo consente ai clienti di prendere decisioni informate nella selezione di sistemi sicuri.

Tuttavia, il percorso per ottenere la certificazione non è privo di sfide. Gli schemi di certificazione della sicurezza possono essere complessi e sfaccettati, richiedendo investimenti significativi in tempo, risorse e competenze. Le aziende devono navigare in un panorama di standard e regolamenti in evoluzione, alcuni dei quali sono specifici per settori industriali particolari. Inoltre, il processo di test e valutazione stesso può essere rigoroso e dispendioso in termini di tempo, richiedendo una stretta collaborazione tra aziende e organismi di certificazione.

Tre benefici commerciali possono essere distinti. In primo luogo, i prodotti certificati ottengono un prezzo premium grazie alla loro qualità e alla garanzia aggiuntiva dimostrata dalla certificazione. La certificazione funge da prezioso differenziatore nei mercati competitivi.

In secondo luogo, i prodotti certificati ottengono l’accesso a mercati fortemente regolamentati dove la certificazione è richiesta o richiesta, escludendo prodotti non certificati. In terzo luogo, la certificazione dimostra la volontà dell’azienda di investire nella cybersicurezza. I programmi di certificazione promuovono una cultura della sicurezza durante tutto il ciclo di vita del prodotto, testando, valutando e affrontando ripetutamente le questioni.

Le aziende certificate sono incentivate a implementare pratiche di sicurezza robuste in modo rigoroso durante l’intero processo di sviluppo, dalla progettazione iniziale alla codifica e al test, fino alla distribuzione, all’operazione e alla gestione. Questo riduce le vulnerabilità nella soluzione finale e forma una solida base per la manutenzione continua della sicurezza.

Stabilendo un linguaggio comune per la postura di cybersicurezza e offrendo un punto di riferimento per la valutazione dei prodotti, la certificazione e la standardizzazione svolgono un ruolo prezioso nel fortificare le difese digitali delle infrastrutture critiche europee. Man mano che il panorama delle minacce evolve, la collaborazione produttiva tra gli stakeholder aiuta a proteggere i sistemi IT vitali che sostengono la società.

Ecco le lezioni principali di questo video:

La certificazione apre le porte ai fornitori. Sebbene non sia ancora obbligatoria in tutta l’UE, la certificazione può essere preziosa per le organizzazioni essenziali e importanti, significando l’accesso a mercati vincolati e lucrativi.

La certificazione costruisce fiducia. Le procedure di test rigorose associate agli schemi di certificazione dimostrano una forte postura di sicurezza.

La certificazione promuove una cultura della sicurezza durante tutto il ciclo di vita del prodotto, portando a soluzioni più robuste che generano vantaggi competitivi per i fornitori e assicurazione per i clienti.

La standardizzazione fornisce una roadmap. Quadri stabiliti come l’ISO/IEC 27001 più i nuovi schemi di certificazione dell’UE offrono un percorso chiaro per le organizzazioni per implementare pratiche di cybersicurezza efficaci.

La sicurezza è un investimento saggio. Sebbene implementare standard e ottenere la certificazione possa essere dispendioso in termini di risorse, i benefici superano i costi. Presi insieme, la standardizzazione e la certificazione consentono ai fornitori di offrire prodotti migliori e più sicuri, e consentono ai clienti di fare scelte più informate nella valutazione e selezione degli stessi.

Precedente
Successivo