Requisiti della Direttiva NIS2

Cos'è la Direttiva NIS2?

La Direttiva NIS2 stabilisce una legislazione in materia di sicurezza informatica a livello dell'UE, basandosi sulla direttiva originaria sulla sicurezza delle reti e dell'informazione (NIS). Il suo obiettivo principale è standardizzare le misure di sicurezza informatica in tutti gli Stati membri dell'UE, promuovendo un approccio unificato alla protezione delle infrastrutture digitali. La NIS2 cerca di allineare gli sforzi in tutta l'UE per affrontare la crescente minaccia di attacchi informatici promuovendo le procedure consigliate e standard di sicurezza coerenti.

Per essere conformi alla Direttiva NIS2, le organizzazioni devono applicare i requisiti di sicurezza discussi nelle sezioni seguenti.

Nuovi requisiti organizzativi della Direttiva NIS2

La Direttiva NIS2 ha lo scopo di migliorare la resilienza dell'Europa alle minacce informatiche attuali ed emergenti introducendo nuovi mandati per le organizzazioni in queste quattro aree principali:

• Gestione dei rischi

  Le organizzazioni devono adottare misure come la gestione degli incidenti, una maggiore sicurezza della catena di approvvigionamento, una maggiore sicurezza della rete, un migliore controllo degli accessi e la crittografia per ridurre al minimo i rischi informatici.

• Responsabilità aziendale

  La leadership aziendale è tenuta a supervisionare, approvare e partecipare alla formazione sulla sicurezza informatica. Se gli incidenti di sicurezza non vengono affrontati correttamente, il management può incorrere in sanzioni.

• Obblighi di segnalazione

  I soggetti essenziali e importanti devono segnalare tempestivamente incidenti di sicurezza significativi entro i termini di notifica specifici imposti dalla NIS2, come il requisito di "allerta precoce" entro 24 ore.

• Continuità aziendale

  Le organizzazioni devono preparare un piano di continuità aziendale per i principali incidenti informatici, che copra il ripristino del sistema, le procedure di emergenza e la creazione di un team di risposta alle crisi.

Le 10 misure minime di sicurezza della Direttiva NIS2

Oltre alle quattro aree di requisiti chiave, la NIS2 richiede che le entità essenziali e importanti adottino queste misure di sicurezza di base mirate a specifiche minacce informatiche:

• Valutazione completa dei rischi

  Le organizzazioni devono disporre di valutazioni dei rischi e criteri di sicurezza su misura per i loro sistemi informativi. Queste valutazioni dovrebbero valutare a fondo le potenziali minacce, le vulnerabilità, la sensibilità dei dati, l'architettura del sistema e i vettori di attacco.

• Autenticazione avanzata

  Le organizzazioni devono adottare misure come l'autenticazione a più fattori, le soluzioni di autenticazione continua e la crittografia del testo, se necessario.

• Piano di risposta agli incidenti

  È necessario sviluppare un piano di risposta agli incidenti per affrontare rapidamente potenziali violazioni della sicurezza. Il piano dovrebbe delineare azioni rapide per mitigare i rischi e proteggere le risorse sensibili da accessi non autorizzati o compromissioni.

• Efficacia della sicurezza

  Le organizzazioni devono impostare criteri per valutare regolarmente l'efficacia delle loro misure di sicurezza. Ciò include controlli di routine per valutare i protocolli di sicurezza, identificare le vulnerabilità e garantire la solidità complessiva dell'infrastruttura di sicurezza.

• Gestione del controllo accessi

  Devono essere implementate procedure di sicurezza per i dipendenti che hanno accesso a dati sensibili e devono essere stabiliti criteri per l'accesso ai dati. Le organizzazioni devono mantenere una panoramica di tutte le risorse rilevanti per garantire che siano utilizzate e gestite in modo efficace.

• Criteri di crittografia

  È necessario creare criteri per l'utilizzo della crittografia per gestire i dati sensibili, delineando le linee guida per la protezione dei dati inattivi, in transito e durante l'elaborazione.

• Ripristino di emergenza

  È necessario sviluppare un piano di backup e ripristino per mantenere la continuità delle operazioni aziendali in seguito a un attacco alla sicurezza. È necessario eseguire backup regolari e stabilire una strategia per la gestione dell'accesso ai sistemi IT durante e dopo un incidente.

• Misure di sicurezza

  Le organizzazioni devono garantire l'approvvigionamento, lo sviluppo e il funzionamento sicuri dei sistemi e stabilire criteri per la gestione e la segnalazione di eventuali vulnerabilità che potrebbero insorgere.

• Gestione del rischio della catena di approvvigionamento

  Le organizzazioni devono adottare rigorose misure di sicurezza per le catene di approvvigionamento su misura per le vulnerabilità di ciascun fornitore diretto e valutare i livelli di sicurezza complessivi di tutti i fornitori.

• Formazione sulla sicurezza informatica

  Le organizzazioni devono fornire formazione sia al management che ai dipendenti per migliorare la loro comprensione della sicurezza informatica.

Soddisfa i requisiti della Direttiva NIS2 utilizzando ADSelfService Plus

Requisito della NIS2	Descrizione del requisito	In che modo ADSelfService Plus aiuta a soddisfare il requisito
Misure di gestione dei rischi di sicurezza informatica
Articolo 21.2.g	Implementa le pratiche di base di igiene informatica e la formazione sulla sicurezza informatica.	ADSelfService Plus promuove una buona igiene delle password utilizzando criteri di password complesse con impostazioni relative alla lunghezza della password, all'uso di caratteri speciali, alla ripetizione dei caratteri e alla restrizione dei modelli comuni. Queste impostazioni vengono applicate durante ogni modifica e reimpostazione della password dell'utente finale, che viene protetta utilizzando metodi MFA avanzati. Utilizza anche un misuratore di sicurezza della password e informa i dipendenti sulle regole di complessità della password, aiutandoli a capire cosa costituisce una password complessa e incoraggiandoli a scegliere di conseguenza.
Articolo 21.2.i	Implementa la sicurezza delle risorse umane, i criteri di controllo degli accessi e la gestione delle risorse.	Con ADSelfService Plus, puoi configurare le condizioni per automatizzare le decisioni di accesso in base all'indirizzo IP, alla geolocalizzazione, all'ora di accesso e al dispositivo utilizzato. È inoltre possibile configurare impostazioni MFA rigorose in base alle unità organizzative e ai gruppi AD, assicurando che solo gli utenti autorizzati possano accedere alle risorse necessarie dopo la verifica dell'identità.
Articolo 21.2.j	È necessario utilizzare soluzioni di autenticazione continua o MFA (come comunicazioni vocali, video e di testo protette) e sistemi di comunicazione di emergenza sicuri all'interno dell'entità, ove appropriato.	ADSelfService Plus fornisce una MFA forte e adattiva con 20 diversi fattori di autenticazione, tra cui le passkey Fast Identity Online (FIDO) e la biometria, per salvaguardare le identità e le risorse all'interno del sistema. Consente di configurare due o più fattori MFA e il successo di tutti i fattori è obbligatorio prima che venga concesso l'accesso.

Criteri MFA adattivi e password complesse di ADSelfService Plus

ADSelfService Plus offre MFA adattiva e criteri per le password complesse, garantendo che le identità dell'organizzazione siano protette in modo efficace per un ambiente Zero Trust completo. Di seguito sono riportati alcuni punti salienti delle funzionalità di Password Policy Enforcer e MFA adattiva di ADSelfService Plus:

1. Applica la cronologia e la complessità delle password: rafforza le password applicando la cronologia delle password durante la reimpostazione delle password native nella console Utenti e Computer di Windows Active Directory (ADUC). Assicurati che le password contengano caratteri maiuscoli, minuscoli, speciali e numerici.
2. Vieta le password deboli: blocca le password, i modelli e i palindromi AD trapelati o deboli.
3. MFA per applicazioni ed endpoint: proteggi l'accesso degli utenti ai dati dell'organizzazione abilitando l'MFA per gli endpoint come computer, applicazioni aziendali, VPN, RDP e OWA.
4. Più autenticatori MFA: scegli tra una gamma di 20 diversi autenticatori MFA, come le passkey FIDO, la biometria e l'autenticatore YubiKey, per verificare l'identità degli utenti.
5. Configurazione facile: semplifica il processo di registrazione MFA sia per gli amministratori che per gli utenti utilizzando opzioni di registrazione rapida, come notifiche e-mail o push e importazioni di file CSV, e applica diversi metodi MFA per gli utenti in base a unità organizzative e gruppi.

Password Policy Enforcer

MFA

Vantaggi dell'utilizzo di ADSelfService Plus per la conformità ai requisiti NIS2

• Tecniche MFA forti

  Implementa tecniche di MFA adattive, come l'accesso condizionale e le opzioni di attendibilità personalizzabili, per autenticare gli utenti in base alla loro posizione, indirizzo IP e tipo di dispositivo.

• Flessibilità granulare

  Applica impostazioni MFA diverse per gli utenti con diversi livelli di accesso ai dati aziendali sensibili in base alle unità organizzative o ai gruppi.

• Maggiore sicurezza delle password

  Garantisci una protezione completa dagli attacchi informatici con l'aiuto di criteri per le password complesse che impongono passphrase e limitano i modelli comuni dalle password.

• Conformità agli standard normativi

  Conformità agli standard normativi: assicurati che la tua organizzazione sia conforme non solo alla Direttiva NIS2, ma anche ai requisiti di conformità NIST SP 800-63B, HIPAA, PCI DSS, CJIS, SOX e GDPR.