E-time | the software company
Portale ACN e Direttiva NIS2
NIS2: Il Nuovo Portale ACN per la Sicurezza delle Imprese
Il 18 ottobre 2024 è entrato in vigore in Italia il Decreto Legislativo n. 138 del 2024, noto anche come Decreto NIS, che recepisce la Direttiva (UE) 2022/2555, definita Direttiva NIS2, introducendo norme aggiornate per rafforzare la sicurezza cibernetica e la protezione digitale nell’Unione Europea.
Un elemento fondamentale introdotto dalla Direttiva NIS2 è la registrazione obbligatoria delle imprese su una piattaforma digitale dedicata. Tutte le organizzazioni che soddisfano i requisiti previsti dalla Direttiva devono iscriversi a un portale digitale specifico, gestito dall’Agenzia per la Cybersicurezza Nazionale (ACN).
La piattaforma punta a potenziare il sistema di sicurezza informatica nazionale, facilitando la collaborazione efficiente tra i soggetti NIS e l’Agenzia per la Cybersicurezza Nazionale. Si ricerca così una maggiore chiarezza nei processi amministrativi, implementando un monitoraggio accurato delle informazioni trasmesse.
Chi sono gli enti tenuti a registrarsi
Sono tenute alla registrazione le imprese che operano in settori essenziali e importanti, forniscono servizi essenziali o gestiscono infrastrutture critiche, come definito dalla Direttiva. Inoltre, l’obbligo si applica a tutte le aziende che soddisfano specifici requisiti dimensionali: almeno 50 dipendenti e un fatturato o bilancio annuale superiore a 10 milioni di euro.
In sintesi, l’obbligo si applica sia alle grandi imprese che ai soggetti essenziali e importanti, operanti in settori come energia, trasporti, sanità, telecomunicazioni e altri. Questi sono tenuti a trasmettere tutte le informazioni relative alle proprie attività entro i termini previsti.
Questi soggetti sono obbligati a garantire la conformità alle normative di sicurezza informatica e a registrarsi sul Portale ACN, così da consentire il monitoraggio e la gestione della sicurezza cibernetica a livello nazionale.
Fasi di registrazione al portale e scadenze
Le imprese soggette alla Direttiva NIS2 devono registrarsi sulla piattaforma digitale tramite il Portale ACN entro il 28 febbraio 2025.
La registrazione deve essere effettuata da un Punto di Contatto designato, che può essere il rappresentante legale, un procuratore o un dipendente delegato. Quest’ultimo dovrà garantire l’attuazione delle disposizioni del Decreto NIS, riferendosi direttamente agli organi di amministrazione e direzione.
La registrazione si suddivide in alcune fasi principali:
- Autenticazione sul Portale ACN Il primo passo per accedere alla piattaforma consiste nella registrazione del punto di contatto con le proprie credenziali personali (SPID o altro sistema equivalente), fornendo informazioni identificative. Tali dati vengono esaminati per verificare l’idoneità del punto di contatto a rappresentare il soggetto. Errori o dati incompleti possono invalidare la registrazione, provocando ritardi o sanzioni. Questa fase preliminare consente la formalizzazione del legame tra utente e soggetto NIS.
- Collegamento del punto di contatto al soggetto NIS
Una volta completata l’autenticazione, il sistema verifica, attraverso la convalida di documenti ufficiali e deleghe, l’autorità del punto di contatto, ossia che possa rappresentare il soggetto NIS. Avviene poi il collegamento tra il punto di contatto e il soggetto NIS, in quanto solo i punti ufficialmente autorizzati possono garantire la sicurezza e l’integrità del sistema e dunque essere associati.
Durante questa fase, vengono anche verificate le informazioni sul portale, tra cui:
- Nome del soggetto NIS;
- Indirizzo della sede legale;
- Domicilio digitale;
- Convalida da parte del soggetto NIS Il processo termina con l’approvazione da parte del soggetto NIS, comunicata tramite notifica al domicilio digitale. Una volta confermata, l’ACN invia un avviso ufficiale che attesta il completamento con esito positivo della procedura. Questa fase garantisce un’associazione chiara e verificata tra il punto di contatto e il soggetto NIS, assicurando la conformità e la protezione del sistema.
Elenco ufficiale soggetti NIS
La registrazione culmina con la creazione dell’elenco ufficiale dei Soggetti NIS da parte dell’Autorità Nazionale Competente. Questo elenco rappresenta uno strumento essenziale per il controllo e la gestione delle entità coinvolte nella cybersicurezza nazionale.
Ogni soggetto incluso nell’elenco riceve un codice identificativo univoco, utile per l’organizzazione e per il punto di contatto come riferimento ufficiale. Tale codice garantisce una gestione strutturata e sicura delle informazioni.
Grazie alla registrazione dei Soggetti NIS, le autorità competenti possono monitorare in modo sistematico le infrastrutture critiche, contribuendo alla protezione e alla resilienza del sistema di sicurezza nazionale.
Sistemi di IAM nella Direttiva NIS2
INDICE
- Cosa sono i Sistemi di IAM (Identity and Access Management)
- Qual è la funzione dei Sistemi IAM (Identity and Access Management)
- I Sistemi di IAM nella Direttiva NIS2: Requisiti e Implicazioni
- Il ruolo dei Sistemi di IAM nella sicurezza aziendale
- Garantire la Conformità alla Direttiva NIS2 con Yookey
Cosa sono i Sistemi di IAM (Identity and Access Management)
Un aspetto cruciale della direttiva europea NIS2 riguarda la gestione delle identità e degli accessi a livello aziendale, nota come Identity and Access Management (IAM).
I sistemi IAM sono soluzioni tecnologiche progettate per gestire in modo sicuro e centralizzato le identità digitali degli utenti all’interno di un’organizzazione. Questi strumenti consentono di amministrare l’intero sistema di diritti di accesso, un controllo essenziale soprattutto per la sicurezza delle infrastrutture cloud.
Inoltre, i sistemi IAM regolano l’accesso degli utenti a sistemi, applicazioni e risorse aziendali, verificando le identità e le autorizzazioni. Gli strumenti IAM permettono poi agli amministratori di monitorare le attività degli utenti, generare report e applicare policy per mantenere la conformità alle normative vigenti in materia, inclusa la NIS2.
Un sistema IAM ben configurato protegge i dati sensibili e le informazioni riservate aziendali, migliorando la sicurezza complessiva.
Qual è la funzione dei Sistemi IAM (Identity and Access Management)
L’obiettivo di un sistema di Identity and Access Management è garantire che solo le persone autorizzate possano accedere alle risorse tecnologiche necessarie per svolgere le proprie attività. Questo processo include la definizione del profilo utente, che comprende attributi come ruoli, privilegi e appartenenze a gruppi, assicurando che ogni individuo disponga dei permessi adeguati.
Tra le principali funzionalità ricondotte ai sistemi di IAM ricordiamo:
- Gestione delle identità: include la creazione, l’aggiornamento e la disattivazione delle identità degli utenti, per mantenere il controllo all’accesso alle risorse aziendali.
- Autenticazione dell’identità dell’utente mediante:
- Password tradizionali
- Autenticazione multifattoriale (MFA), che utilizza più fattori per confermare l’identità.
- Single Sign-On (SSO), che permette che l’utente possa autenticarsi una sola volta per accedere a molteplici applicazioni o servizi.
- Autorizzazione e controllo degli accessi: basata sull’assegnazione dei permessi in base ai ruoli aziendali o su politiche zero trust.
- Monitoraggio, svolto attraverso due azioni principali:
- Tracciamento delle attività degli utenti e registrazione dei log di accesso, con generazione di report dettagliati ed eventuale rilevazione di anomalie.
- Monitoraggio delle attività degli utenti per garantire la conformità a normative e standard di sicurezza come la ISO 27001.
I Sistemi di IAM nella Direttiva NIS2: Requisiti e Implicazioni
La direttiva NIS2 impone requisiti rigorosi che rafforzano l’importanza dei sistemi IAM, sollecitando le aziende a implementare misure come:
- Controllo e monitoraggio degli accessi, attraverso sistemi di registrazione delle attività per identificare anomalie e processi di log dettagliati.
- Gestione sicura delle identità e degli accessi: il sistema IAM viene configurato attraverso un’autenticazione a più fattori (MFA), per proteggere accessi e dati sensibili, e la gestione delle identità privilegiate, per esempio quelle degli amministratori di sistema, che necessitano di accesso a aree sensibili.
- Protezione dei dati, attraverso l’utilizzo di crittografia per garantire la riservatezza delle credenziali e dei dati sensibili.
- Resilienza e continuità operativa: le organizzazioni devono garantire la resilienza dei loro sistemi critici e la continuità operativa in caso di attacchi informatici o incidenti di sicurezza.
- Gestione dei rischi IAM, con valutazioni regolari delle vulnerabilità relative alla gestione delle identità e implementazione di un piano di risposta rapida agli eventuali incidenti.
- Notifica degli incidenti, che deve avvenire in modo tempestivo (allarme preventivo entro 24 ore e notifica ufficiale entro 72 ore).
- Utilizzo di una Zero Trust Architecture, in cui vi è un’applicazione di metodi di autenticazione continua per ogni accesso, anche da reti interne.
Proprio per queste disposizioni in materia, lo sviluppo di un sistema di gestione delle identità e degli accessi risulta essere fondamentale per la compliance dell’organizzazione alla normativa.
Il ruolo dei Sistemi di IAM nella sicurezza aziendale
Tuttavia, i sistemi di IAM non si limitano solo a garantire la conformità, ma svolgono anche un ruolo preventivo nel proteggere le risorse aziendali, contribuendo in modo significativo a rafforzare la sicurezza complessiva.
Questo ruolo preventivo e proattivo dell’identity and access management si concretizza in una serie di azioni principali, tra cui:
- Controllo rafforzato e rigoroso su identità e credenziali;
- Protezione contro accessi non autorizzati;
- Gestione centralizzata delle identità, utilizzando tecniche come l’autenticazione a più fattori (MFA);
- Supporto alla conformità normativa, in quanto i sistemi IAM supportano le aziende nel rispettare le normative di sicurezza e privacy, come la ISO 27001 e la NIS2, che richiedono una gestione rigorosa delle identità e degli accessi, mantenendo una documentazione adeguata.
In definitiva, i sistemi di IAM sono fondamentali per migliorare la sicurezza aziendale e prevenire minacce informatiche.
Garantire la Conformità alla Direttiva NIS2 con Yookey
Yookey è una piattaforma che offre soluzioni avanzate di Identity and Access Management (IAM) basata su Keycloak, con un focus sulla gestione sicura delle identità, combinando l’autenticazione a più fattori (MFA) con il Single Sign On (SSO), operando in conformità con la NIS2.
Inoltre, Yookey supporta le aziende nell’aderire alle disposizioni della NIS2, adottando il modello Zero Trust, che prevede la verifica di ogni accesso compresi quelli provenienti da reti interne. Per il monitoraggio degli accessi, Yookey consente di registrare tutte le operazioni tramite log sicuri e di generare report dettagliati, permettendo l’analisi degli incidenti cibernetici come previsto dalla NIS2.
Nel contesto della sicurezza della supply chain, Yookey facilita l’Identity Federation, un processo che consente di gestire l’accesso degli utenti esterni (fornitori, partner, terze parti) in modo sicuro e conforme alle normative. Infine, la piattaforma centralizza la gestione degli accessi, migliorando la visibilità e il monitoraggio delle identità.
Grazie a queste soluzioni, Yookey supporta le aziende nell’affrontare le sfide della sicurezza digitale e nel rispettare le normative della direttiva NIS2.
La direttiva NIS 2: cosa cambia nella gestione della sicurezza per le aziende
È stato ufficialmente pubblicato nella Gazzetta Ufficiale il Decreto Legislativo n. 138, che recepisce la direttiva (UE) 2022/2555, nota come NIS 2 ed entrata ufficialmente in vigore il 16 ottobre 2024.
La Direttiva NIS2 rappresenta un importante cambiamento normativo per la sicurezza informatica delle Aziende Europee. Il suo scopo principale è migliorare la resilienza e la protezione delle reti e dei sistemi informativi e si applica ad aziende ed Enti pubblici o privati che operano nel territorio UE.
La nuova Direttiva aggiorna la precedente Direttiva NIS (Network and Information Security), adottata nel 2016 e che data la crescente complessità degli attacchi informatici andava necessariamente aggiornata.
Che cos'è la Direttiva NIS 2?
La Direttiva NIS2 è una normativa dell’Unione Europea ideata con lo scopo di rafforzare la sicurezza informatica nei Paesi membri. Rispetto alla precedente NIS, la Direttiva NIS2 amplia il campo di applicazione e introduce requisiti più stringenti in termini di gestione del rischio, segnalazione degli incidenti e responsabilità aziendale.
La NIS2 obbliga le aziende a collaborare con le autorità e altre aziende a livello europeo per condividere informazioni e buone pratiche in materia di sicurezza informatica. Ciò mira a garantire una risposta coordinata e più efficace contro le minacce che travalicano i confini nazionali.
L’obiettivo principale è quello di stabilire dei riferimenti comuni all’interno dell’Unione sui temi di sicurezza informatica e opera in maniera sinergica con altre normative, come il GDPR e il Cyber Resilience Act.
NIS2 obbliga le aziende a elevare i propri standard di sicurezza e ad adottare soluzioni avanzate come il Single Sign-On (SSO) e l’Autenticazione a più fattori (MFA), fondamentali per proteggere l’accesso ai sistemi informativi.
In Italia, l’Ente designato dal governo italiano per coordinare le attività di cybersicurezza e l’attuazione della Normativa è ACN (l’Agenzia per la Cybersicurezza Nazionale).
NIS 2: a chi si rivolge
La Direttiva NIS 2 si rivolge a entità essenziali ed entità importanti che vengono distinte in base alla criticità dei servizi che offrono e alle loro dimensioni.
Chi sono le Entità essenziali
Sono considerate essenziali le imprese che operano in uno dei settori ad alta criticità elencati nell’Allegato 1 del Testo e se hanno più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di Euro.
Chi sono le Entità importanti
Imprese di medie dimensioni, cioè con più di 50 dipendenti con un ruolo rilevante in settori strategici o critici (Allegato 1 e Allegato 2).
Tuttavia, viene precisato che anche le entità con meno di 50 dipendenti o fatturato inferiore possono essere classificate come essenziali o importanti se operano in settori critici o se la loro interruzione può avere un forte impatto sulla sicurezza o sull’economia.
Per completezza, il link al testo integrale pubblicato sulla Gazzetta Ufficiale
Gli obblighi della Direttiva NIS 2
Gestione del rischio
Le aziende devono implementare misure di sicurezza adeguate per gestire i rischi legati alla sicurezza delle reti e dei sistemi informatici.
Notifica degli incidenti
È obbligatorio notificare gli incidenti di sicurezza alle autorità competenti comunicando l’allarme preventivo entro 24 ore al CSIRT (Computer Security Incident Response Teams), e facendo pervenire la notifica ufficiale entro 72 ore dal verificarsi dell’incidente informatico.
Valutazione della sicurezza e Business Continuity
Le aziende devono condurre valutazioni regolari dei rischi e adottare le opportune misure di mitigazione, oltre a definire dei piani per garantire la continuità operativa dei servizi critici anche in caso di incidenti significativi.
Formazione e sensibilizzazione
È richiesto che le aziende forniscano formazione continua ai dipendenti sulla sicurezza informatica. Inoltre, viene introdotta una maggiore responsaiblità per i Dirigenti imponendo che i membri dei consigli di amministrazione siano direttamente responsabili della conformità alle normative di sicurezza, rendendoli soggetti a sanzioni in caso di inadempienza.
Chi sono i soggetti obbligati ad adottare la NIS 2
NIS2 si applica obbligatoriamente a un ampio gruppo di imprese sia nel settore pubblico che privato che come già riportato nel paragrafo precedente rientrano nelle categorie di Entità essenziali o Importanti. In particolare, vengono considerati settori ad alta criticità:
- Energia (elettricità, gas, petrolio)
- Trasporti (aereo, ferroviario, marittimo, stradale)
- Sanità (ospedali, laboratori, centri di assistenza sanitaria)
- Pubblica Amministrazione
- Infrastrutture digitali (reti di telecomunicazioni, data center)
- Servizi finanziari (banche, operatori del mercato finanziario)
- Servizi postali
- Servizi di approvvigionamento idrico e gestione delle acque reflue
- Fornitori di servizi digitali (cloud, piattaforme online, motori di ricerca)
- Fornitori di infrastrutture critiche (comprese le imprese che supportano i settori essenziali, come le telecomunicazioni)
Oltre a questi elencati all’interno dell’Allegato 2 sono menzionati anche altri settori critici, come:
- Alimentare (aziende che producono e distribuiscono alimenti, soprattutto quelli coinvolti nella fornitura su larga scala.)
- Gestione dei rifiuti (raccolta, trattamento e smaltimento)
- Manifatturiero (Produttori di dispositivi medici, macchinari, veicoli e dispositivi elettrici/elettronici)
- Chimico (produzione e fornitura di prodotti chimici)
- Spazio (operatori satellitari, servizi spaziali)
Anche aziende con meno di 50 dipendenti possono rientrare nell’ambito della Direttiva NIS 2 se rappresentano l’unico fornitore di un servizio essenziale in uno Stato membro o se l’interruzione del loro servizio potrebbe avere un impatto notevole sulla sicurezza o sulla salute pubblica/nazionale.
Inoltre, le Pubbliche amministrazioni sono tutte soggette all’applicazione della Direttiva indipendentemente dalle loro dimensioni, eccezione fatta per quelle coinvolte in attività legate alla sicurezza nazionale, difesa, ordine pubblico e lotta alla criminalità.
Hai già implementato un sistema di gestione delle identità e degli accessi per i tuoi servizi o i tuoi clienti?
Le sanzioni previste dalla Direttiva NIS 2
Le sanzioni specifiche e le procedure di enforcement possono variare a seconda delle normative nazionali adottate dai vari Stati membri in attuazione della Direttiva NIS 2. In linea generale le sanzioni previste possono essere:
- Sanzioni amministrative: con multe di importi variabili a seconda della gravità della violazione e della dimensione dell’azienda.
- Sanzioni pecuniarie: in aggiunta alle sanzioni amministrative, potrebbero essere imposte ulteriori sanzioni pecuniarie.
- Sanzioni specifiche per la non conformità: Se un’azienda non rispetta i requisiti di sicurezza o non comunica le violazioni nei tempi stabiliti, può affrontare sanzioni più severe.
- Sospensione dei servizi: sospensione temporanea dei servizi forniti dall’azienda o Ente che non risulta conforme.
- Pubblicazione delle violazioni: in casi specifici o qualora si ritenesse opportuno, le autorità possono decidere di rendere pubbliche le violazioni.
Single Sign-On (SSO) e Autenticazione a più fattori (MFA)
La NIS2 incoraggia l’utilizzo di sistemi di Single Sign-On (SSO) per semplificare e rafforzare la gestione degli accessi e dell’autenticazione a più fattori (MFA) per garantire che l’accesso ai sistemi aziendali sia protetto da più livelli di sicurezza, riducendo il rischio di accessi non autorizzati tramite furto di credenziali.
L’SSO consente agli utenti di autenticarsi una sola volta per accedere a più servizi, migliorando la sicurezza e l’efficienza operativa.
MFA aggiunge invece un ulteriore livello di sicurezza richiedendo più forme di verifica (ad es. password più codice via telefono o biometria).
Utilizzo combinato di SSO e MFA
L’uso combinato di SSO e MFA, non viene preso in considerazione molto spesso trascurando quanto questa pratica può rafforzare la sicurezza, assicurando che anche in caso di compromissione delle credenziali utilizzate per il Single Sign-On, un attaccante debba comunque superare l’MFA. L’utilizzo combinato dei due sistemi porta con se due vantaggi:
- Comodità dell’Single Sign-On per l’esperienza utente.
- Ulteriore garanzia di sicurezza grazie all’autenticazione a più fattori.
Scopri le nostre soluzioni
per la gestione di Identità e Accessi
per la gestione di Identità e Accessi
