Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

ENISA avvia la consultazione pubblica: Guida tecnica per rafforzare le misure di cybersicurezza delle organizzazioni europee

Sandro Sana : 8 Novembre 2024 10:43

L’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) ha recentemente pubblicato una bozza di guida tecnica destinata alle organizzazioni europee per implementare le misure di sicurezza informatica previste dalla Direttiva NIS2. Questa guida, redatta in collaborazione con la Commissione Europea e il Gruppo di Cooperazione NIS, è stata rilasciata sotto forma di Regolamento di Esecuzione (UE) 2024/2690 del 17 ottobre 2024, ed è ora disponibile per la consultazione pubblica.

La guida è rivolta a una vasta gamma di entità, tra cui fornitori di servizi cloud, data center, gestori di registri di domini di primo livello, reti di distribuzione di contenuti, provider di marketplace e social network, e mira a sostenere le organizzazioni nell’applicazione dei requisiti tecnici e metodologici previsti dalla Direttiva NIS2. ENISA invita tutte le parti interessate a fornire il proprio feedback per affinare e perfezionare questa guida, rendendola uno strumento pratico, flessibile e in linea con le esigenze reali del settore.

Obiettivi e struttura della Guida Tecnica

La guida ENISA non solo mira a garantire l’adesione agli standard NIS2, ma intende anche offrire alle organizzazioni un supporto concreto per rafforzare la propria resilienza contro le minacce informatiche. Il documento fornisce una combinazione di raccomandazioni operative, esempi di conformità e suggerimenti tecnici, organizzati in quattro elementi chiave per ogni requisito:

  • Indicazioni pratiche che guidano le organizzazioni nell’implementazione dei requisiti.
  • Esempi di evidenze di conformità per documentare l’aderenza alle misure.
  • Suggerimenti extra per andare oltre i requisiti minimi e rafforzare ulteriormente la sicurezza.
  • Mappature agli standard: collegamenti con standard internazionali e nazionali come ISO/IEC 27001, NIST CSF, e altri, per favorire una perfetta integrazione con i framework di sicurezza già esistenti.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Essendo un documento in continua evoluzione, la guida sarà aggiornata periodicamente per adattarsi ai cambiamenti nelle normative internazionali e alle nuove minacce informatiche.

    Informazioni sul Regolamento di Esecuzione (UE) 2024/2690

    Il Regolamento di Esecuzione (UE) 2024/2690, adottato dalla Commissione Europea il 17 ottobre 2024, rappresenta un passo cruciale nell’attuazione della Direttiva (UE) 2022/2555, nota come Direttiva NIS2. Questo regolamento stabilisce requisiti tecnici e metodologici dettagliati per le misure di gestione dei rischi di cybersicurezza e specifica i criteri per determinare quando un incidente debba essere considerato significativo.

    Il regolamento si applica a una vasta gamma di entità, tra cui fornitori di servizi DNS, registri dei nomi di dominio di primo livello, fornitori di servizi di cloud computing, data center, reti di distribuzione dei contenuti, mercati online, motori di ricerca, piattaforme di social network e fornitori di servizi fiduciari.

    Principali requisiti tecnici e metodologici:

    • Politiche di sicurezza: definizione di politiche chiare per la sicurezza dei sistemi di rete e informazione.
    • Gestione del rischio: implementazione di processi strutturati per identificare, valutare e mitigare i rischi di cybersicurezza.
    • Gestione degli incidenti: procedure di rilevamento, gestione e notifica degli incidenti di sicurezza.
    • Continuità operativa: piani per garantire la continuità dei servizi anche in caso di incidenti significativi.
    • Sicurezza della catena di fornitura: misure specifiche per gestire i rischi associati ai fornitori e alle terze parti.
    • Igiene informatica e formazione: programmi di sensibilizzazione e formazione per il personale sulle pratiche di sicurezza.
    • Cifratura e controllo degli accessi: tecniche avanzate di cifratura e autenticazione per proteggere i dati critici.

    Il regolamento fornisce anche criteri specifici per determinare quando un incidente deve essere considerato significativo, basandosi su fattori come il numero di utenti interessati, la durata dell’incidente, la portata geografica, l’impatto sui servizi e le conseguenze economiche e sociali. Questi criteri aiutano le organizzazioni a valutare l’importanza di un incidente e a determinare le azioni appropriate da intraprendere, inclusa la notifica tempestiva alle autorità competenti.

    L’adozione di questo regolamento impone alle organizzazioni di rivedere e aggiornare le proprie misure di sicurezza per conformarsi ai nuovi requisiti, inclusa l’adozione di policy e procedure aggiornate, la formazione del personale e l’implementazione di tecnologie di sicurezza avanzate. Per ulteriori dettagli, il regolamento è consultabile su EUR-Lex.

    Le aree di intervento chiave

    La guida ENISA copre tredici aree tematiche, considerate essenziali per la sicurezza informatica delle organizzazioni moderne. Di seguito, una panoramica dettagliata di ciascun pilastro:

    1. Politica di sicurezza dei sistemi di rete e informazione: Ogni organizzazione deve disporre di una policy di sicurezza che delinei chiaramente l’approccio e gli obiettivi di cybersicurezza. La guida raccomanda che questa policy sia allineata con la strategia di business e approvata dalla dirigenza. Tra gli elementi da includere, vi sono l’allocazione delle risorse necessarie, la definizione dei ruoli e delle responsabilità e un piano di miglioramento continuo della sicurezza. È inoltre importante che la policy sia comunicata sia al personale interno che ai fornitori esterni.
    2. Gestione del rischio: ENISA sottolinea la necessità per le organizzazioni di adottare un framework di gestione del rischio per identificare, valutare e mitigare le minacce. La guida suggerisce un piano di trattamento del rischio che documenti ogni rischio rilevato e le misure specifiche per affrontarlo, tenendo conto delle risorse aziendali e del contesto operativo. La revisione periodica del piano è fondamentale per rispondere ai cambiamenti nel panorama delle minacce.
    3. Gestione degli incidenti: Una delle aree più critiche per la sicurezza, la gestione degli incidenti, richiede una policy strutturata che assegni ruoli specifici e definisca procedure chiare per l’identificazione, l’analisi, la risposta e il recupero da eventi di sicurezza. ENISA consiglia di stabilire una classificazione degli incidenti che aiuti a determinare rapidamente la gravità di ogni evento e a stabilire piani di escalation e comunicazione per una risposta coordinata e tempestiva.
    4. Continuità operativa e gestione delle crisi: La guida sottolinea l’importanza di avere piani solidi per garantire la continuità operativa anche durante le crisi. ENISA incoraggia l’adozione di piani di business continuity e di disaster recovery, che comprendano strategie di backup, piani per il ripristino dei dati e per la gestione delle crisi. È essenziale che tali piani siano testati regolarmente e aggiornati alla luce delle lezioni apprese da incidenti precedenti.
    5. Sicurezza della catena di fornitura: Con l’aumento dell’esternalizzazione e della dipendenza dai fornitori, il documento evidenzia l’importanza di avere una policy specifica per la gestione dei rischi della supply chain. La guida raccomanda di tenere traccia dei fornitori, valutare i rischi associati a ciascuno di essi e integrare requisiti di sicurezza nei contratti per limitare le vulnerabilità derivanti dalle terze parti.
    6. Acquisizione e sviluppo sicuro dei sistemi: La sicurezza deve essere integrata fin dalla progettazione di nuovi sistemi IT. ENISA consiglia di seguire un ciclo di sviluppo sicuro, che includa pratiche di gestione della configurazione, testing di sicurezza, e applicazione delle patch. L’obiettivo è assicurare che ogni sistema implementato sia adeguatamente protetto contro le minacce emergenti.
    7. Monitoraggio e controllo dell’efficacia delle misure di sicurezza: La guida raccomanda procedure per valutare regolarmente l’efficacia delle misure di sicurezza adottate. Questo può includere l’esecuzione di audit, test di penetrazione e altre attività di monitoraggio, con l’obiettivo di individuare tempestivamente eventuali lacune e migliorare le difese.
    8. Cyber igiene e formazione del personale: La formazione continua è essenziale per ridurre i rischi derivanti da errori umani. ENISA incoraggia l’adozione di pratiche di cyber igiene di base e di programmi di sensibilizzazione per rendere i dipendenti consapevoli delle principali minacce informatiche e delle procedure di sicurezza.
    9. Cifratura e controllo degli accessi: La protezione dei dati sensibili passa attraverso l’adozione di tecniche di cifratura e l’implementazione di meccanismi di autenticazione robusti. La guida raccomanda l’utilizzo di autenticazione multifattore e il controllo rigoroso degli accessi ai dati e ai sistemi, per limitare al minimo i rischi di accesso non autorizzato.
    10. Gestione delle risorse e degli asset: ENISA raccomanda l’adozione di politiche per la classificazione, gestione e protezione degli asset aziendali, inclusi i dispositivi mobili e i supporti rimovibili. È essenziale tenere un inventario accurato e adottare misure per proteggere gli asset durante tutto il loro ciclo di vita.
    11. Sicurezza fisica e ambientale: Oltre alla protezione digitale, la guida suggerisce misure di sicurezza fisica, come il controllo degli accessi alle strutture e la protezione contro minacce ambientali, per assicurare che i sistemi critici siano protetti anche da rischi non digitali.
    12. Criptografia avanzata: L’uso di tecnologie crittografiche è fondamentale per la protezione dei dati sensibili e la guida offre raccomandazioni sulle migliori pratiche per implementare la crittografia sia per i dati in transito che per quelli in archiviazione.
    13. Controllo degli accessi e gestione dei privilegi: La gestione degli accessi è cruciale per proteggere le risorse critiche. ENISA suggerisce di implementare controlli rigorosi sugli accessi e di monitorare attentamente l’uso degli account con privilegi elevati, adottando politiche chiare per garantire che solo le persone autorizzate possano accedere alle informazioni sensibili.

    L’importanza della partecipazione pubblica

    ENISA riconosce che il successo di questa guida dipende dal contributo delle organizzazioni e dei professionisti del settore, ed è per questo che invita alla partecipazione attiva di tutti gli stakeholder. La consultazione pubblica rappresenta un’opportunità per le organizzazioni di influenzare il contenuto della guida, garantendo che essa sia applicabile e adeguata alle esigenze operative del settore.

    Le organizzazioni interessate possono consultare il documento sul sito dell’ENISA e presentare il loro feedback, contribuendo così alla costruzione di un cyberspazio europeo più sicuro e resiliente. Questa fase di feedback permetterà all’ENISA di affinare il documento finale, trasformandolo in uno strumento pratico e aggiornato per affrontare le sfide future della cybersicurezza

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.
    Visita il sito web dell'autore

    Articoli in evidenza

    CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

    Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

    Spotify è Andato giù e DarkStorm Rivendica un attacco DDoS col botto!

    ​Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...

    20 Milioni di euro persi da IKEA per un attacco Ransomware

    Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...

    CVE a rischio! La spina dorsale della cybersecurity Occidentale potrebbe spegnersi oggi. Riflessioni

    Noi di Red Hot Cyber lo diciamo da tempo: affidarsi esclusivamente a infrastrutture critiche gestite da enti statunitensi è un rischio per l’autonomia strategica europea. È anni che s...

    Breach Forums che fine hai fatto? Sequestro in corso, Honeypot federale o Disservizio?

    A partire da poco dopo la mezzanotte del 15 aprile 2025, BreachForums – uno dei principali forum underground – risulta offline sia nella sua versione clearnet che nella controparte su re...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006