Contenuto del corso
Introduzione: cos’è la NIS 2
Introduzione alla direttiva 2022/2555 - NIS 2
0/1
1. Cos’è la NIS 2
07:31
Politica sulla sicurezza dei sistemi informativi
0/1
2. Politica sulla sicurezza dei sistemi informativi
04:08
Passi per l’implementazione
0/1
3. Passi per l’implementazione
09:15
Standard e certificazioni
0/1
4 – Standard e certificazioni
08:28
Autorità Nazionali ed Europee
0/1
5 – Autorità Nazionali ed Europee
07:46
Applicabilità
0/1
6 – Applicabilità
05:53
Requisiti di cybersicurezza
0/1
7 – Requisiti di cybersicurezza
04:28
Incidenti e gestione delle crisi
0/1
8 – Incidenti e gestione delle crisi
03:48
Sicurezza della catena di fornitura
0/1
9 – Sicurezza della catena di fornitura
03:46
Obblighi di reporting
0/1
10 – Obblighi di reporting
10:57
Applicazione
0/1
11 – Applicazione
07:25
Training NIS 2
Informazioni sulla lezione

Approccio al rischio

L’articolo 21 della direttiva NIS 2 richiede alle entità essenziali e importanti di gestire i rischi informatici rilevanti per le loro operazioni, con l’obiettivo di prevenire o minimizzare l’impatto di incidenti gravi su clienti e terze parti. È richiesto l’uso di misure di sicurezza informatica tecniche, operative e organizzative appropriate e proporzionate.

Misure di Sicurezza

Politiche per l’analisi dei rischi e la sicurezza dei sistemi informativi

Le politiche chiariscono la direzione e l’intento della gestione, utilizzando una metodologia di valutazione del rischio per determinare i metodi da utilizzare per analizzare i rischi informatici.

Gestione degli incidenti

La gestione degli incidenti richiede processi solidi dalla loro identificazione iniziale fino alla risoluzione e all’apprendimento dei punti emersi. Piani di risposta agli incidenti robusti sono fondamentali durante incidenti e disastri maggiori.

Continuità aziendale

La gestione della continuità aziendale, inclusi i backup e la gestione delle crisi, è essenziale per mantenere operative le attività essenziali nonostante gli incidenti. La gestione del ripristino IT, la ricostruzione dei sistemi e il ripristino dei dati dai backup sono parti chiave del processo.

Sicurezza della catena di approvvigionamento

Stabilire e operare processi per identificare i fornitori critici, valutare i rischi informatici associati e gestirli proattivamente è cruciale. Clausole contrattuali che specificano misure di sicurezza informatica appropriate sono richieste insieme ad attività di assicurazione.

Acquisizione e manutenzione ICT

La sicurezza informatica deve essere parte integrante dell’acquisizione, dello sviluppo e della manutenzione delle tecnologie dell’informazione e della comunicazione (ICT). È necessario specificare e incorporare misure di sicurezza adatte.

Politiche di controllo e valutazione

Politiche e procedure per valutare e migliorare l’efficacia della sicurezza informatica comprendono vari controlli, test, ispezioni, revisioni e audit.

Pratiche di igiene informatica di base

Le pratiche di igiene informatica di base e la formazione sulla sicurezza sono essenziali per tutti i lavoratori, indipendentemente dai loro ruoli. La sicurezza fisica può essere importante per le strutture che ospitano attrezzature IT critiche e dati.

Politiche di crittografia

La direttiva NIS 2 richiede politiche di crittografia complete e procedure manageriali per la gestione sicura delle chiavi crittografiche.

Sicurezza delle risorse umane e controllo degli accessi

La sicurezza delle risorse umane affronta i rischi associati ai dipendenti durante tutto il loro ciclo di vita lavorativo. Le politiche di controllo degli accessi definiscono le regole per l’accesso consentito e proibito ai sistemi ICT e ai dati.

Autenticazione multifattoriale

Misure di autenticazione multifattoriale e altre misure richieste dalla direttiva NIS 2 dipendono dalla crittografia e richiedono la progettazione, lo sviluppo e la gestione sicuri.

Piano d’azione per la gestione

Implementazione

Implementare una sicurezza informatica completa e basata sul rischio, concentrandosi sulle 10 misure essenziali specificate dalla direttiva NIS 2.

Risorse e formazione

Allocare risorse e implementare misure più forti nelle aree di maggiore rischio, coprendo aspetti tecnici, operativi e organizzativi. Promuovere la cultura della sicurezza informatica attraverso una leadership forte e fornire formazione sulla consapevolezza della sicurezza a tutti i lavoratori.

Monitoraggio e miglioramento continuo

Condurre valutazioni periodiche del rischio per identificare e affrontare le minacce informatiche e le vulnerabilità in evoluzione. Stabilire processi per monitorare continuamente la conformità alla direttiva NIS 2 e ad altre normative rilevanti. Condurre revisioni post-incidenti per catturare le lezioni apprese e garantire miglioramenti.

Precedente
Successivo