Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

ENISA avvia la consultazione pubblica: Guida tecnica per rafforzare le misure di cybersicurezza delle organizzazioni europee

Sandro Sana : 8 Novembre 2024 10:43

L’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) ha recentemente pubblicato una bozza di guida tecnica destinata alle organizzazioni europee per implementare le misure di sicurezza informatica previste dalla Direttiva NIS2. Questa guida, redatta in collaborazione con la Commissione Europea e il Gruppo di Cooperazione NIS, è stata rilasciata sotto forma di Regolamento di Esecuzione (UE) 2024/2690 del 17 ottobre 2024, ed è ora disponibile per la consultazione pubblica.

La guida è rivolta a una vasta gamma di entità, tra cui fornitori di servizi cloud, data center, gestori di registri di domini di primo livello, reti di distribuzione di contenuti, provider di marketplace e social network, e mira a sostenere le organizzazioni nell’applicazione dei requisiti tecnici e metodologici previsti dalla Direttiva NIS2. ENISA invita tutte le parti interessate a fornire il proprio feedback per affinare e perfezionare questa guida, rendendola uno strumento pratico, flessibile e in linea con le esigenze reali del settore.

Obiettivi e struttura della Guida Tecnica

La guida ENISA non solo mira a garantire l’adesione agli standard NIS2, ma intende anche offrire alle organizzazioni un supporto concreto per rafforzare la propria resilienza contro le minacce informatiche. Il documento fornisce una combinazione di raccomandazioni operative, esempi di conformità e suggerimenti tecnici, organizzati in quattro elementi chiave per ogni requisito:

  • Indicazioni pratiche che guidano le organizzazioni nell’implementazione dei requisiti.
  • Esempi di evidenze di conformità per documentare l’aderenza alle misure.
  • Suggerimenti extra per andare oltre i requisiti minimi e rafforzare ulteriormente la sicurezza.
  • Mappature agli standard: collegamenti con standard internazionali e nazionali come ISO/IEC 27001, NIST CSF, e altri, per favorire una perfetta integrazione con i framework di sicurezza già esistenti.

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Essendo un documento in continua evoluzione, la guida sarà aggiornata periodicamente per adattarsi ai cambiamenti nelle normative internazionali e alle nuove minacce informatiche.

Informazioni sul Regolamento di Esecuzione (UE) 2024/2690

Il Regolamento di Esecuzione (UE) 2024/2690, adottato dalla Commissione Europea il 17 ottobre 2024, rappresenta un passo cruciale nell’attuazione della Direttiva (UE) 2022/2555, nota come Direttiva NIS2. Questo regolamento stabilisce requisiti tecnici e metodologici dettagliati per le misure di gestione dei rischi di cybersicurezza e specifica i criteri per determinare quando un incidente debba essere considerato significativo.

Il regolamento si applica a una vasta gamma di entità, tra cui fornitori di servizi DNS, registri dei nomi di dominio di primo livello, fornitori di servizi di cloud computing, data center, reti di distribuzione dei contenuti, mercati online, motori di ricerca, piattaforme di social network e fornitori di servizi fiduciari.

Principali requisiti tecnici e metodologici:

  • Politiche di sicurezza: definizione di politiche chiare per la sicurezza dei sistemi di rete e informazione.
  • Gestione del rischio: implementazione di processi strutturati per identificare, valutare e mitigare i rischi di cybersicurezza.
  • Gestione degli incidenti: procedure di rilevamento, gestione e notifica degli incidenti di sicurezza.
  • Continuità operativa: piani per garantire la continuità dei servizi anche in caso di incidenti significativi.
  • Sicurezza della catena di fornitura: misure specifiche per gestire i rischi associati ai fornitori e alle terze parti.
  • Igiene informatica e formazione: programmi di sensibilizzazione e formazione per il personale sulle pratiche di sicurezza.
  • Cifratura e controllo degli accessi: tecniche avanzate di cifratura e autenticazione per proteggere i dati critici.

Il regolamento fornisce anche criteri specifici per determinare quando un incidente deve essere considerato significativo, basandosi su fattori come il numero di utenti interessati, la durata dell’incidente, la portata geografica, l’impatto sui servizi e le conseguenze economiche e sociali. Questi criteri aiutano le organizzazioni a valutare l’importanza di un incidente e a determinare le azioni appropriate da intraprendere, inclusa la notifica tempestiva alle autorità competenti.

L’adozione di questo regolamento impone alle organizzazioni di rivedere e aggiornare le proprie misure di sicurezza per conformarsi ai nuovi requisiti, inclusa l’adozione di policy e procedure aggiornate, la formazione del personale e l’implementazione di tecnologie di sicurezza avanzate. Per ulteriori dettagli, il regolamento è consultabile su EUR-Lex.

Le aree di intervento chiave

La guida ENISA copre tredici aree tematiche, considerate essenziali per la sicurezza informatica delle organizzazioni moderne. Di seguito, una panoramica dettagliata di ciascun pilastro:

  1. Politica di sicurezza dei sistemi di rete e informazione: Ogni organizzazione deve disporre di una policy di sicurezza che delinei chiaramente l’approccio e gli obiettivi di cybersicurezza. La guida raccomanda che questa policy sia allineata con la strategia di business e approvata dalla dirigenza. Tra gli elementi da includere, vi sono l’allocazione delle risorse necessarie, la definizione dei ruoli e delle responsabilità e un piano di miglioramento continuo della sicurezza. È inoltre importante che la policy sia comunicata sia al personale interno che ai fornitori esterni.
  2. Gestione del rischio: ENISA sottolinea la necessità per le organizzazioni di adottare un framework di gestione del rischio per identificare, valutare e mitigare le minacce. La guida suggerisce un piano di trattamento del rischio che documenti ogni rischio rilevato e le misure specifiche per affrontarlo, tenendo conto delle risorse aziendali e del contesto operativo. La revisione periodica del piano è fondamentale per rispondere ai cambiamenti nel panorama delle minacce.
  3. Gestione degli incidenti: Una delle aree più critiche per la sicurezza, la gestione degli incidenti, richiede una policy strutturata che assegni ruoli specifici e definisca procedure chiare per l’identificazione, l’analisi, la risposta e il recupero da eventi di sicurezza. ENISA consiglia di stabilire una classificazione degli incidenti che aiuti a determinare rapidamente la gravità di ogni evento e a stabilire piani di escalation e comunicazione per una risposta coordinata e tempestiva.
  4. Continuità operativa e gestione delle crisi: La guida sottolinea l’importanza di avere piani solidi per garantire la continuità operativa anche durante le crisi. ENISA incoraggia l’adozione di piani di business continuity e di disaster recovery, che comprendano strategie di backup, piani per il ripristino dei dati e per la gestione delle crisi. È essenziale che tali piani siano testati regolarmente e aggiornati alla luce delle lezioni apprese da incidenti precedenti.
  5. Sicurezza della catena di fornitura: Con l’aumento dell’esternalizzazione e della dipendenza dai fornitori, il documento evidenzia l’importanza di avere una policy specifica per la gestione dei rischi della supply chain. La guida raccomanda di tenere traccia dei fornitori, valutare i rischi associati a ciascuno di essi e integrare requisiti di sicurezza nei contratti per limitare le vulnerabilità derivanti dalle terze parti.
  6. Acquisizione e sviluppo sicuro dei sistemi: La sicurezza deve essere integrata fin dalla progettazione di nuovi sistemi IT. ENISA consiglia di seguire un ciclo di sviluppo sicuro, che includa pratiche di gestione della configurazione, testing di sicurezza, e applicazione delle patch. L’obiettivo è assicurare che ogni sistema implementato sia adeguatamente protetto contro le minacce emergenti.
  7. Monitoraggio e controllo dell’efficacia delle misure di sicurezza: La guida raccomanda procedure per valutare regolarmente l’efficacia delle misure di sicurezza adottate. Questo può includere l’esecuzione di audit, test di penetrazione e altre attività di monitoraggio, con l’obiettivo di individuare tempestivamente eventuali lacune e migliorare le difese.
  8. Cyber igiene e formazione del personale: La formazione continua è essenziale per ridurre i rischi derivanti da errori umani. ENISA incoraggia l’adozione di pratiche di cyber igiene di base e di programmi di sensibilizzazione per rendere i dipendenti consapevoli delle principali minacce informatiche e delle procedure di sicurezza.
  9. Cifratura e controllo degli accessi: La protezione dei dati sensibili passa attraverso l’adozione di tecniche di cifratura e l’implementazione di meccanismi di autenticazione robusti. La guida raccomanda l’utilizzo di autenticazione multifattore e il controllo rigoroso degli accessi ai dati e ai sistemi, per limitare al minimo i rischi di accesso non autorizzato.
  10. Gestione delle risorse e degli asset: ENISA raccomanda l’adozione di politiche per la classificazione, gestione e protezione degli asset aziendali, inclusi i dispositivi mobili e i supporti rimovibili. È essenziale tenere un inventario accurato e adottare misure per proteggere gli asset durante tutto il loro ciclo di vita.
  11. Sicurezza fisica e ambientale: Oltre alla protezione digitale, la guida suggerisce misure di sicurezza fisica, come il controllo degli accessi alle strutture e la protezione contro minacce ambientali, per assicurare che i sistemi critici siano protetti anche da rischi non digitali.
  12. Criptografia avanzata: L’uso di tecnologie crittografiche è fondamentale per la protezione dei dati sensibili e la guida offre raccomandazioni sulle migliori pratiche per implementare la crittografia sia per i dati in transito che per quelli in archiviazione.
  13. Controllo degli accessi e gestione dei privilegi: La gestione degli accessi è cruciale per proteggere le risorse critiche. ENISA suggerisce di implementare controlli rigorosi sugli accessi e di monitorare attentamente l’uso degli account con privilegi elevati, adottando politiche chiare per garantire che solo le persone autorizzate possano accedere alle informazioni sensibili.

L’importanza della partecipazione pubblica

ENISA riconosce che il successo di questa guida dipende dal contributo delle organizzazioni e dei professionisti del settore, ed è per questo che invita alla partecipazione attiva di tutti gli stakeholder. La consultazione pubblica rappresenta un’opportunità per le organizzazioni di influenzare il contenuto della guida, garantendo che essa sia applicabile e adeguata alle esigenze operative del settore.

Le organizzazioni interessate possono consultare il documento sul sito dell’ENISA e presentare il loro feedback, contribuendo così alla costruzione di un cyberspazio europeo più sicuro e resiliente. Questa fase di feedback permetterà all’ENISA di affinare il documento finale, trasformandolo in uno strumento pratico e aggiornato per affrontare le sfide future della cybersicurezza

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...

Hackers nordcoreani a libro paga. Come le aziende hanno pagato stipendi a specialisti IT nordcoreani

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006