E-time | the software company
Linkedin-in Facebook-f Instagram

NIS2

Disponibile la Guida completa per i Sistemi di IAM nella Direttiva NIS 2
Febbraio 20, 2025by userNIS2

Disponibile la Guida completa per i Sistemi di IAM nella Direttiva NIS 2

La sicurezza informatica è una priorità sempre più centrale per le aziende e le istituzioni europee. Con l’introduzione della Direttiva NIS2, l’Unione Europea ha rafforzato il quadro normativo sulla cybersecurity, imponendo nuovi obblighi per la protezione delle reti e dei sistemi informatici.

Tra gli aspetti più rilevanti della direttiva, un ruolo fondamentale è assegnato ai sistemi di Identity and Access Management (IAM), strumenti essenziali per garantire un controllo efficace sugli accessi e sulle identità digitali. Per aiutare aziende e professionisti a comprendere e adeguarsi a queste nuove disposizioni, abbiamo realizzato una guida completa che analizza nel dettaglio:

  • Gli obblighi introdotti dalla direttiva NIS2 e i soggetti coinvolti
  • Le sanzioni previste in caso di mancata conformità
  • L’importanza dei sistemi IAM nella conformità alla direttiva

Un’attenzione particolare è dedicata al ruolo strategico dei sistemi IAM nell’ambito della normativa, evidenziando le migliori pratiche e le soluzioni più efficaci per garantire un controllo degli accessi sicuro e conforme ai requisiti di legge.

E’ possibile scaricare gratuitamente la guida compilando il modulo al seguente link.

Scopri le nostre soluzioni
per la gestione di Identità e Accessi
Scopri le soluzioni
Contattaci
Read More
Pubblica Amministrazione e Sistemi IAM: Sicurezza e Controllo degli Accessi
Febbraio 11, 2025by userNIS2

Pubblica Amministrazione e Sistemi IAM: Sicurezza e Controllo degli Accessi

INDICE
  1. Sicurezza Digitale nella PA: i sistemi IAM per un Controllo degli Accessi Efficace
  2. Quali settori possono maggiormente beneficiare dall’utilizzo di Sistemi IAM
  3. Pubblica Amministrazione e NIS2: Come l’IAM Garantisce Sicurezza e Conformità
  4. Accesso Sicuro nella PA: Yookey con Autenticazione SPID e CIE

Sicurezza Digitale nella PA: i sistemi IAM per un Controllo degli Accessi Efficace

La Gestione delle Identità e degli Accessi (IAM) rappresenta un elemento fondamentale nella sicurezza informatica per la pubblica amministrazione, dove la protezione dei dati sensibili e un’efficace gestione degli accessi rivestono un ruolo cruciale.
A conferma di ciò, all’interno della pubblica amministrazione, l’IAM permette di:

  • Gestire le identità digitali dei dipendenti e dei cittadini, assicurando che solo gli utenti autorizzati possano accedere a determinati risorse.
  • Assicurare la conformità alle normative sulla protezione dei dati, come la Direttiva NIS2 o il GDPR, attraverso rigorosi controlli sugli accessi.
  • Migliorare l’efficienza operativa ottimizzando i processi di provisioning e deprovisioning degli utenti.

Grazie all’automazione della gestione delle identità, le soluzioni IAM possono migliorare la conformità normativa, ridurre i rischi di accessi non autorizzati, ottimizzando così i processi operativi.

Quali settori possono maggiormente beneficiare dall’utilizzo di Sistemi IAM

L’adozione di Sistemi di Identity and Access Management (IAM) può potenzialmente offrire vantaggi significativi in diversi settori, con particolare riferimento a quelli che gestiscono dati e infrastrutture critiche.

Alcuni tra i settori che beneficiano maggiormente di queste soluzioni sono:

  1. Sanità pubblica
    • Protezione dei dati sanitari (cartelle cliniche elettroniche, fascicolo sanitario elettronico).
    • Controllo degli accessi per medici, infermieri e pazienti nei sistemi ospedalieri e di telemedicina.
  2. Finanze e Agenzia delle Entrate
    • Gestione degli accessi ai dati fiscali dei cittadini e delle imprese.
    • Protezione dei sistemi di pagamento elettronico e delle transazioni governative.
    • Autenticazione sicura per operatori finanziari e contribuenti tramite SPID, CIE e CNS.
  3. Giustizia e forze dell’ordine
    • Controllo rigoroso degli accessi ai database e procedimenti legali.
    • Protezione delle informazioni riservate nei tribunali e nelle forze dell’ordine.
    • Autenticazione sicura di tutti gli utenti.

Non solo questi, ma molti altri sono utenti dei servizi offerti dai sistemi IAM, che traggono vantaggio anche dalle nuove modalità di autenticazione e identificazione degli utenti, più sicure e avanzate..

Pubblica Amministrazione e NIS2: Come l’IAM Garantisce Sicurezza e Conformità

Una delle principali sfide dei sistemi IAM è garantire servizi conformi a una normativa in continua evoluzione nel campo della cybersicurezza. In questo contesto, i sistemi IAM svolgono un ruolo cruciale nel consentire agli enti pubblici di aderire pienamente a regolamenti come la Direttiva NIS 2.

Questo supporto alla conformità normativa si concretizza attraverso una serie di iniziative mirate a garantire una piena compliance, tra cui:

  • Autenticazione forte e Zero Trust Security: La NIS2 impone l’adozione di misure di autenticazione robuste, come l’autenticazione a più fattori (MFA). In risposta a questa esigenza, i sistemi IAM favoriscono l’implementazione del modello Zero Trust, che prevede una verifica continua prima di ogni accesso, garantendo una sicurezza perimetrale e una gestione accurata delle identità.
  • Monitoraggio e auditing continuo: La conformità alla NIS2 impone la gestione di registri di accesso dettagliati e la capacità di monitorare attività sospette. I sistemi IAM rispondono a questa esigenza mediante l’adozione di strumenti avanzati per la registrazione e il tracciamento delle attività, garantendo una sorveglianza continua e una gestione proattiva della sicurezza.
  • Gestione centralizzata delle identità e degli accessi: I sistemi IAM permettono un controllo centralizzato degli utenti, riducendo il rischio di accessi non autorizzati, per garantire la conformità degli enti pubblici alla NIS, che impone misure rigorose per la gestione degli accessi.

Accesso Sicuro nella PA: Yookey con Autenticazione SPID e CIE

La Direttiva NIS 2 (Network and Information Security Directive 2) impone requisiti più stringenti in materia di cybersicurezza per le infrastrutture critiche e i servizi essenziali, tra cui la gestione delle identità digitali e dei sistemi di autenticazione.

L’autenticazione tramite SPID (Sistema Pubblico di Identità Digitale) e CIE (Carta d’Identità Elettronica) rientra nelle strategie per soddisfare tali requisiti, in quanto garantisce un’autenticazione forte , riducendo così il rischio di accessi non autorizzati.

Yookey ID, il servizio Keycloak in modalità SaaS, è già configurato per l’autenticazione tramite SPID e Carta d’Identità Elettronica, consentendo di implementare facilmente l’autenticazione con SPID e CIE su qualsiasi servizio web, garantendo così un processo rapido e sicuro.

Read More
Portale ACN e Direttiva NIS2
Gennaio 8, 2025by userNIS2

Portale ACN e Direttiva NIS2

INDICE
  1. NIS 2: Il Nuovo Portale ACN per la Sicurezza delle Imprese
  2. Chi sono gli enti tenuti a registrarsi
  3. Fasi di registrazione al portale e scadenze
  4. Elenco ufficiale soggetti NIS

NIS2: Il Nuovo Portale ACN per la Sicurezza delle Imprese

Il 18 ottobre 2024 è entrato in vigore in Italia il Decreto Legislativo n. 138 del 2024, noto anche come Decreto NIS, che recepisce la Direttiva (UE) 2022/2555, definita Direttiva NIS2, introducendo norme aggiornate per rafforzare la sicurezza cibernetica e la protezione digitale nell’Unione Europea.

Un elemento fondamentale introdotto dalla Direttiva NIS2 è la registrazione obbligatoria delle imprese su una piattaforma digitale dedicata. Tutte le organizzazioni che soddisfano i requisiti previsti dalla Direttiva devono iscriversi a un portale digitale specifico, gestito dall’Agenzia per la Cybersicurezza Nazionale (ACN).

La piattaforma punta a potenziare il sistema di sicurezza informatica nazionale, facilitando la collaborazione efficiente tra i soggetti NIS e l’Agenzia per la Cybersicurezza Nazionale. Si ricerca così una maggiore chiarezza nei processi amministrativi, implementando un monitoraggio accurato delle informazioni trasmesse.

Chi sono gli enti tenuti a registrarsi

Sono tenute alla registrazione le imprese che operano in settori essenziali e importanti, forniscono servizi essenziali o gestiscono infrastrutture critiche, come definito dalla Direttiva. Inoltre, l’obbligo si applica a tutte le aziende che soddisfano specifici requisiti dimensionali: almeno 50 dipendenti e un fatturato o bilancio annuale superiore a 10 milioni di euro.

In sintesi, l’obbligo si applica sia alle grandi imprese che ai soggetti essenziali e importanti, operanti in settori come energia, trasporti, sanità, telecomunicazioni e altri. Questi sono tenuti a trasmettere tutte le informazioni relative alle proprie attività entro i termini previsti.

Questi soggetti sono obbligati a garantire la conformità alle normative di sicurezza informatica e a registrarsi sul Portale ACN, così da consentire il monitoraggio e la gestione della sicurezza cibernetica a livello nazionale.

Fasi di registrazione al portale e scadenze

Le imprese soggette alla Direttiva NIS2 devono registrarsi sulla piattaforma digitale tramite il Portale ACN entro il 28 febbraio 2025. La registrazione deve essere effettuata da un Punto di Contatto designato, che può essere il rappresentante legale, un procuratore o un dipendente delegato. Quest’ultimo dovrà garantire l’attuazione delle disposizioni del Decreto NIS, riferendosi direttamente agli organi di amministrazione e direzione. La registrazione si suddivide in alcune fasi principali:
  1. Autenticazione sul Portale ACN Il primo passo per accedere alla piattaforma consiste nella registrazione del punto di contatto con le proprie credenziali personali (SPID o altro sistema equivalente), fornendo informazioni identificative. Tali dati vengono esaminati per verificare l’idoneità del punto di contatto a rappresentare il soggetto. Errori o dati incompleti possono invalidare la registrazione, provocando ritardi o sanzioni. Questa fase preliminare consente la formalizzazione del legame tra utente e soggetto NIS.
  2. Collegamento del punto di contatto al soggetto NIS Una volta completata l’autenticazione, il sistema verifica, attraverso la convalida di documenti ufficiali e deleghe, l’autorità del punto di contatto, ossia che possa rappresentare il soggetto NIS. Avviene poi il collegamento tra il punto di contatto e il soggetto NIS, in quanto solo i punti ufficialmente autorizzati possono garantire la sicurezza e l’integrità del sistema e dunque essere associati. Durante questa fase, vengono anche verificate le informazioni sul portale, tra cui:
    • Nome del soggetto NIS;
    • Indirizzo della sede legale;
    • Domicilio digitale;
  3.  Convalida da parte del soggetto NIS Il processo termina con l’approvazione da parte del soggetto NIS, comunicata tramite notifica al domicilio digitale. Una volta confermata, l’ACN invia un avviso ufficiale che attesta il completamento con esito positivo della procedura. Questa fase garantisce un’associazione chiara e verificata tra il punto di contatto e il soggetto NIS, assicurando la conformità e la protezione del sistema.

Elenco ufficiale soggetti NIS

La registrazione culmina con la creazione dell’elenco ufficiale dei Soggetti NIS da parte dell’Autorità Nazionale Competente. Questo elenco rappresenta uno strumento essenziale per il controllo e la gestione delle entità coinvolte nella cybersicurezza nazionale.

Ogni soggetto incluso nell’elenco riceve un codice identificativo univoco, utile per l’organizzazione e per il punto di contatto come riferimento ufficiale. Tale codice garantisce una gestione strutturata e sicura delle informazioni.
Grazie alla registrazione dei Soggetti NIS, le autorità competenti possono monitorare in modo sistematico le infrastrutture critiche, contribuendo alla protezione e alla resilienza del sistema di sicurezza nazionale.

Read More
Sistemi di IAM nella Direttiva NIS2
Dicembre 6, 2024by userNIS2

Sistemi di IAM nella Direttiva NIS2

INDICE
  1. Cosa sono i Sistemi di IAM (Identity and Access Management)
  2. Qual è la funzione dei Sistemi IAM (Identity and Access Management)
  3. I Sistemi di IAM nella Direttiva NIS2: Requisiti e Implicazioni
  4. Il ruolo dei Sistemi di IAM nella sicurezza aziendale
  5. Garantire la Conformità alla Direttiva NIS2 con Yookey

Cosa sono i Sistemi di IAM (Identity and Access Management)

Un aspetto cruciale della direttiva europea NIS2 riguarda la gestione delle identità e degli accessi a livello aziendale, nota come Identity and Access Management (IAM).

I sistemi IAM sono soluzioni tecnologiche progettate per gestire in modo sicuro e centralizzato le identità digitali degli utenti all’interno di un’organizzazione. Questi strumenti consentono di amministrare l’intero sistema di diritti di accesso, un controllo essenziale soprattutto per la sicurezza delle infrastrutture cloud.

Inoltre, i sistemi IAM regolano l’accesso degli utenti a sistemi, applicazioni e risorse aziendali, verificando le identità e le autorizzazioni. Gli strumenti IAM permettono poi agli amministratori di monitorare le attività degli utenti, generare report e applicare policy per mantenere la conformità alle normative vigenti in materia, inclusa la NIS2.

Un sistema IAM ben configurato protegge i dati sensibili e le informazioni riservate aziendali, migliorando la sicurezza complessiva.

Qual è la funzione dei Sistemi IAM (Identity and Access Management)

L’obiettivo di un sistema di Identity and Access Management è garantire che solo le persone autorizzate possano accedere alle risorse tecnologiche necessarie per svolgere le proprie attività. Questo processo include la definizione del profilo utente, che comprende attributi come ruoli, privilegi e appartenenze a gruppi, assicurando che ogni individuo disponga dei permessi adeguati.

Tra le principali funzionalità ricondotte ai sistemi di IAM ricordiamo:

  • Gestione delle identità: include la creazione, l’aggiornamento e la disattivazione delle identità degli utenti, per mantenere il controllo all’accesso alle risorse aziendali.
  • Autenticazione dell’identità dell’utente mediante:
    1. Password tradizionali
    2. Autenticazione multifattoriale (MFA), che utilizza più fattori per confermare l’identità.
    3. Single Sign-On (SSO), che permette che l’utente possa autenticarsi una sola volta per accedere a molteplici applicazioni o servizi.
  • Autorizzazione e controllo degli accessi: basata sull’assegnazione dei permessi in base ai ruoli aziendali o su politiche zero trust.
  • Monitoraggio, svolto attraverso due azioni principali:
    1. Tracciamento delle attività degli utenti e registrazione dei log di accesso, con generazione di report dettagliati ed eventuale rilevazione di anomalie.
    2. Monitoraggio delle attività degli utenti per garantire la conformità a normative e standard di sicurezza come la ISO 27001.

I Sistemi di IAM nella Direttiva NIS2: Requisiti e Implicazioni

La direttiva NIS2 impone requisiti rigorosi che rafforzano l’importanza dei sistemi IAM, sollecitando le aziende a implementare misure come:

  • Controllo e monitoraggio degli accessi, attraverso sistemi di registrazione delle attività per identificare anomalie e processi di log dettagliati.
  • Gestione sicura delle identità e degli accessi: il sistema IAM viene configurato attraverso un’autenticazione a più fattori (MFA), per proteggere accessi e dati sensibili, e la gestione delle identità privilegiate, per esempio quelle degli amministratori di sistema, che necessitano di accesso a aree sensibili.
  • Protezione dei dati, attraverso l’utilizzo di crittografia per garantire la riservatezza delle credenziali e dei dati sensibili.
  • Resilienza e continuità operativa: le organizzazioni devono garantire la resilienza dei loro sistemi critici e la continuità operativa in caso di attacchi informatici o incidenti di sicurezza.
  • Gestione dei rischi IAM, con valutazioni regolari delle vulnerabilità relative alla gestione delle identità e implementazione di un piano di risposta rapida agli eventuali incidenti.
  • Notifica degli incidenti, che deve avvenire in modo tempestivo (allarme preventivo entro 24 ore e notifica ufficiale entro 72 ore).
  • Utilizzo di una Zero Trust Architecture, in cui vi è un’applicazione di metodi di autenticazione continua per ogni accesso, anche da reti interne.

Proprio per queste disposizioni in materia, lo sviluppo di un sistema di gestione delle identità e degli accessi risulta essere fondamentale per la compliance dell’organizzazione alla normativa.

Il ruolo dei Sistemi di IAM nella sicurezza aziendale

Tuttavia, i sistemi di IAM non si limitano solo a garantire la conformità, ma svolgono anche un ruolo preventivo nel proteggere le risorse aziendali, contribuendo in modo significativo a rafforzare la sicurezza complessiva.

Questo ruolo preventivo e proattivo dell’identity and access management si concretizza in una serie di azioni principali, tra cui:

  • Controllo rafforzato e rigoroso su identità e credenziali;
  • Protezione contro accessi non autorizzati;
  • Gestione centralizzata delle identità, utilizzando tecniche come l’autenticazione a più fattori (MFA);
  • Supporto alla conformità normativa, in quanto i sistemi IAM supportano le aziende nel rispettare le normative di sicurezza e privacy, come la ISO 27001 e la NIS2, che richiedono una gestione rigorosa delle identità e degli accessi, mantenendo una documentazione adeguata.

In definitiva, i sistemi di IAM sono fondamentali per migliorare la sicurezza aziendale e prevenire minacce informatiche.

Garantire la Conformità alla Direttiva NIS2 con Yookey

Yookey è una piattaforma che offre soluzioni avanzate di Identity and Access Management (IAM) basata su Keycloak, con un focus sulla gestione sicura delle identità, combinando l’autenticazione a più fattori (MFA) con il Single Sign On (SSO), operando in conformità con la NIS2.

Inoltre, Yookey supporta le aziende nell’aderire alle disposizioni della NIS2, adottando il modello Zero Trust, che prevede la verifica di ogni accesso compresi quelli provenienti da reti interne. Per il monitoraggio degli accessi, Yookey consente di registrare tutte le operazioni tramite log sicuri e di generare report dettagliati, permettendo l’analisi degli incidenti cibernetici come previsto dalla NIS2.

Nel contesto della sicurezza della supply chain, Yookey facilita l’Identity Federation, un processo che consente di gestire l’accesso degli utenti esterni (fornitori, partner, terze parti) in modo sicuro e conforme alle normative. Infine, la piattaforma centralizza la gestione degli accessi, migliorando la visibilità e il monitoraggio delle identità.

Grazie a queste soluzioni, Yookey supporta le aziende nell’affrontare le sfide della sicurezza digitale e nel rispettare le normative della direttiva NIS2.

Read More
La direttiva NIS 2: cosa cambia nella gestione della sicurezza per le aziende
Ottobre 18, 2024by userNIS2

La direttiva NIS 2: cosa cambia nella gestione della sicurezza per le aziende

È stato ufficialmente pubblicato nella Gazzetta Ufficiale il Decreto Legislativo n. 138, che recepisce la direttiva (UE) 2022/2555, nota come NIS 2 ed entrata ufficialmente in vigore il 16 ottobre 2024.

La Direttiva NIS2 rappresenta un importante cambiamento normativo per la sicurezza informatica delle Aziende Europee. Il suo scopo principale è migliorare la resilienza e la protezione delle reti e dei sistemi informativi e si applica ad aziende ed Enti pubblici o privati che operano nel territorio UE.

La nuova Direttiva aggiorna la precedente Direttiva NIS (Network and Information Security), adottata nel 2016 e che data la crescente complessità degli attacchi informatici andava necessariamente aggiornata.

[INDICE]

Che cos'è la Direttiva NIS 2?

La Direttiva NIS2 è una normativa dell’Unione Europea ideata con lo scopo di rafforzare la sicurezza informatica nei Paesi membri. Rispetto alla precedente NIS, la Direttiva NIS2 amplia il campo di applicazione e introduce requisiti più stringenti in termini di gestione del rischio, segnalazione degli incidenti e responsabilità aziendale.

La NIS2 obbliga le aziende a collaborare con le autorità e altre aziende a livello europeo per condividere informazioni e buone pratiche in materia di sicurezza informatica. Ciò mira a garantire una risposta coordinata e più efficace contro le minacce che travalicano i confini nazionali.

L’obiettivo principale è quello di stabilire dei riferimenti comuni all’interno dell’Unione sui temi di sicurezza informatica e opera in maniera sinergica con altre normative, come il GDPR e il Cyber Resilience Act.

NIS2 obbliga le aziende a elevare i propri standard di sicurezza e ad adottare soluzioni avanzate come il Single Sign-On (SSO) e l’Autenticazione a più fattori (MFA), fondamentali per proteggere l’accesso ai sistemi informativi.

In Italia, l’Ente designato dal governo italiano per coordinare le attività di cybersicurezza e l’attuazione della Normativa è ACN (l’Agenzia per la Cybersicurezza Nazionale).

NIS 2: a chi si rivolge

La Direttiva NIS 2 si rivolge a entità essenziali ed entità importanti che vengono distinte in base alla criticità dei servizi che offrono e alle loro dimensioni.

Chi sono le Entità essenziali

Sono considerate essenziali le imprese che operano in uno dei settori ad alta criticità elencati nell’Allegato 1 del Testo e se hanno più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di Euro.

Chi sono le Entità importanti

Imprese di medie dimensioni, cioè con più di 50 dipendenti con un ruolo rilevante in settori strategici o critici (Allegato 1 e Allegato 2).

Tuttavia, viene precisato che anche le entità con meno di 50 dipendenti o fatturato inferiore possono essere classificate come essenziali o importanti se operano in settori critici o se la loro interruzione può avere un forte impatto sulla sicurezza o sull’economia.

Per completezza, il link al testo integrale pubblicato sulla Gazzetta Ufficiale

Gli obblighi della Direttiva NIS 2

Gestione del rischio

Le aziende devono implementare misure di sicurezza adeguate per gestire i rischi legati alla sicurezza delle reti e dei sistemi informatici.

Notifica degli incidenti

È obbligatorio notificare gli incidenti di sicurezza alle autorità competenti comunicando l’allarme preventivo entro 24 ore al CSIRT (Computer Security Incident Response Teams), e facendo pervenire la notifica ufficiale entro 72 ore dal verificarsi dell’incidente informatico.

Valutazione della sicurezza e Business Continuity

Le aziende devono condurre valutazioni regolari dei rischi e adottare le opportune misure di mitigazione, oltre a definire dei piani per garantire la continuità operativa dei servizi critici anche in caso di incidenti significativi.

Formazione e sensibilizzazione

È richiesto che le aziende forniscano formazione continua ai dipendenti sulla sicurezza informatica. Inoltre, viene introdotta una maggiore responsaiblità per i Dirigenti imponendo che i membri dei consigli di amministrazione siano direttamente responsabili della conformità alle normative di sicurezza, rendendoli soggetti a sanzioni in caso di inadempienza. 

Chi sono i soggetti obbligati ad adottare la NIS 2

NIS2 si applica obbligatoriamente a un ampio gruppo di imprese sia nel settore pubblico che privato che come già riportato nel paragrafo precedente rientrano nelle categorie di Entità essenziali o Importanti. In particolare, vengono considerati settori ad alta criticità:

  • Energia (elettricità, gas, petrolio)
  • Trasporti (aereo, ferroviario, marittimo, stradale)
  • Sanità (ospedali, laboratori, centri di assistenza sanitaria)
  • Pubblica Amministrazione
  • Infrastrutture digitali (reti di telecomunicazioni, data center)
  • Servizi finanziari (banche, operatori del mercato finanziario)
  • Servizi postali
  • Servizi di approvvigionamento idrico e gestione delle acque reflue
  • Fornitori di servizi digitali (cloud, piattaforme online, motori di ricerca)
  • Fornitori di infrastrutture critiche (comprese le imprese che supportano i settori essenziali, come le telecomunicazioni)

Oltre a questi elencati all’interno dell’Allegato 2 sono menzionati anche altri settori critici, come:

  • Alimentare (aziende che producono e distribuiscono alimenti, soprattutto quelli coinvolti nella fornitura su larga scala.)
  • Gestione dei rifiuti (raccolta, trattamento e smaltimento)
  • Manifatturiero (Produttori di dispositivi medici, macchinari, veicoli e dispositivi elettrici/elettronici)
  • Chimico (produzione e fornitura di prodotti chimici)
  • Spazio (operatori satellitari, servizi spaziali)

Anche aziende con meno di 50 dipendenti possono rientrare nell’ambito della Direttiva NIS 2 se rappresentano l’unico fornitore di un servizio essenziale in uno Stato membro o se l’interruzione del loro servizio potrebbe avere un impatto notevole sulla sicurezza o sulla salute pubblica/nazionale. 

Inoltre, le Pubbliche amministrazioni sono tutte soggette all’applicazione della Direttiva indipendentemente dalle loro dimensioni, eccezione fatta per quelle coinvolte in attività legate alla sicurezza nazionale, difesa, ordine pubblico e lotta alla criminalità.

Hai già implementato un sistema di gestione delle identità e degli accessi per i tuoi servizi o i tuoi clienti?
Scopri le soluzioni
Contattaci

Le sanzioni previste dalla Direttiva NIS 2

Le sanzioni specifiche e le procedure di enforcement possono variare a seconda delle normative nazionali adottate dai vari Stati membri in attuazione della Direttiva NIS 2. In linea generale le sanzioni previste possono essere:

  • Sanzioni amministrative: con multe di importi variabili a seconda della gravità della violazione e della dimensione dell’azienda.
  • Sanzioni pecuniarie: in aggiunta alle sanzioni amministrative, potrebbero essere imposte ulteriori sanzioni pecuniarie.
  • Sanzioni specifiche per la non conformità: Se un’azienda non rispetta i requisiti di sicurezza o non comunica le violazioni nei tempi stabiliti, può affrontare sanzioni più severe.
  • Sospensione dei servizi: sospensione temporanea dei servizi forniti dall’azienda o Ente che non risulta conforme.
  • Pubblicazione delle violazioni: in casi specifici o qualora si ritenesse opportuno, le autorità possono decidere di rendere pubbliche le violazioni.

Single Sign-On (SSO) e Autenticazione a più fattori (MFA)

La NIS2 incoraggia l’utilizzo di sistemi di Single Sign-On (SSO) per semplificare e rafforzare la gestione degli accessi e dell’autenticazione a più fattori (MFA) per garantire che l’accesso ai sistemi aziendali sia protetto da più livelli di sicurezza, riducendo il rischio di accessi non autorizzati tramite furto di credenziali.

L’SSO consente agli utenti di autenticarsi una sola volta per accedere a più servizi, migliorando la sicurezza e l’efficienza operativa.

MFA aggiunge invece un ulteriore livello di sicurezza richiedendo più forme di verifica (ad es. password più codice via telefono o biometria).

Utilizzo combinato di SSO e MFA

L’uso combinato di SSO e MFA, non viene preso in considerazione molto spesso trascurando quanto questa pratica può rafforzare la sicurezza, assicurando che anche in caso di compromissione delle credenziali utilizzate per il Single Sign-On, un attaccante debba comunque superare l’MFA. L’utilizzo combinato dei due sistemi porta con se due vantaggi:

  • Comodità dell’Single Sign-On per l’esperienza utente.
  • Ulteriore garanzia di sicurezza grazie all’autenticazione a più fattori.
Scopri le nostre soluzioni
per la gestione di Identità e Accessi
Scopri le soluzioni
Contattaci
Read More

E-time is a Software House and System Integrator specialized in IT consulting web based and mobile software development for companies, banks and insurance companies.

   

Services

Solutions

Quick Links

Facebook-f Linkedin-in Youtube Instagram

© 2024 E-time Srl. All Rights Reserved | P.IVA IT03256040233