Pochi dei requisiti NIS-2 sono fondamentalmente nuovi. Le novità riguardano principalmente due aspetti: da metà ottobre 2024 le aziende dovranno segnalare gli incidenti legati alla sicurezza. Se non puoi farlo o se superi la scadenza per la segnalazione, potresti incorrere in sanzioni. Senza esserne influenzati, verranno raccolte molte misure individuali già attuate dalle aziende. Tuttavia, ci sono aspetti aziendali chiave su cui si concentra il NIS-2 e ai quali le aziende dovrebbero prestare particolare attenzione.
1. Inventario del sistema
Le aziende interessate devono fare un inventario completo dei propri sistemi e della gestione patrimoniale. Ciò significa che possono gestire i rischi informatici in modo più affidabile. Ma le aziende conoscono i propri valori aziendali? È protetto contro l’uso improprio o il furto? Pertanto un inventario completo è il primo passo.
2. Monitoraggio del sistema
Le aziende devono essere in grado di riconoscere gli attacchi e determinare le azioni di risposta agli attacchi. Prima o poi le aziende saranno vittime di un attacco informatico. Quindi sono necessari sistemi per rilevare gli attacchi (SzA). Ciò consente di riconoscere tempestivamente un attacco imminente e rispondere in modo appropriato. Sono inoltre necessarie ulteriori misure come la pirateria informatica, il controllo della sicurezza, il monitoraggio dei registri e il monitoraggio della conformità.
3. Rilevamento dei danni
Le aziende devono identificare, valutare, dare priorità e risolvere le vulnerabilità. Ecco perché la gestione delle vulnerabilità dovrebbe essere radicata nelle operazioni principali di un’azienda, proprio come la gestione delle patch. Problema tipico: un’azienda con un sistema IT complesso si affida a elenchi Excel locali per gestire le vulnerabilità. Dato che il numero delle vulnerabilità rende difficile rintracciarle, gli hacker irrompono nell’IT di un’azienda. Questo dovrebbe essere evitato.
annuncio
Taglio, dosaggio e confezionamento
Quali sfide presentano le macchine alimentari e per l’imballaggio per le soluzioni di azionamento e automazione e come possono essere superate? Fabian Fischer, Application Sales Team Leader presso KEB Automation, fornisce le risposte. ‣ Per saperne di più
4. Sensibilizzazione
Le aziende hanno bisogno di linee guida centralizzate e devono rendere i dipendenti e il management consapevoli delle minacce informatiche. Oltre alla gestione delle identità e degli accessi, è obbligatoria anche la gestione degli incidenti. Scenari sfavorevoli potrebbero verificarsi se i dipendenti utilizzano password non sicure, ad esempio gli account di posta elettronica nel cloud non sono realmente sicuri. Allo stesso tempo, potrebbe essere consentito loro di accedere al software aziendale senza autenticarsi con un secondo fattore. L’aggressore informatico compromette quindi l’IT dell’azienda tramite account di posta elettronica compromessi e continua a diffondersi. La sensibilizzazione è essenziale, ma le linee guida lo rendono vincolante per tutti i soggetti coinvolti: i dipendenti devono essere in grado di gestire dati sensibili. Sono necessarie regole per accedere a questi dati. Deve essere possibile verificare se è errato.
5. Trasparenza
Le organizzazioni dovrebbero monitorare e valutare i propri rischi per la sicurezza utilizzando strumenti di rilevamento e risposta degli endpoint (EDR), rilevamento e risposta della rete (NDR) e strumenti di gestione delle informazioni e degli eventi di sicurezza (SIEM). Il problema: spesso le aziende non sanno quali sistemi utilizzano i loro dipendenti. Questi strumenti sconosciuti o dimenticati non sono inclusi nell’ambito e pertanto non vengono scansionati per individuare eventuali vulnerabilità né applicati patch. Inoltre, si creano dipendenze indesiderate perché i dipendenti utilizzano sistemi non autorizzati per gestire processi critici.
6. Piani di emergenza
Le aziende devono essere in grado di rispondere immediatamente in caso di attacco con azioni di risposta predefinite. Sei obbligato a segnalare gli incidenti relativi alla sicurezza entro un certo periodo di tempo, compresi i rapporti intermedi e finali. Questi canali di segnalazione dovrebbero essere istituiti, conosciuti e implementati. I beni particolarmente sensibili dovrebbero essere protetti. Inoltre, le aziende devono adottare forti precauzioni per le emergenze e determinati scenari: la pianificazione delle emergenze, la gestione delle emergenze e i piani di ripristino delle operazioni aziendali sono obbligatori. Si può ad esempio escludere che sui dispositivi mobili dei dipendenti siano presenti dati altamente sensibili, in modo che terzi non autorizzati possano accedere facilmente ai dati in caso di smarrimento o furto e l’azienda diventa vittima di attacchi di hacker o di estorsione.
annuncio
Trasformazione magistrale
Le aziende sono sotto forte pressione per trasformarsi al fine di garantire la loro competitività. Ma sono necessari esperti esperti per progettare questi processi digitali e organizzativi. Scritto da Martin Haines, CEO di Convista ‣ Per saperne di più
7. Canali di comunicazione
Le istruzioni comportamentali per i dipendenti devono essere predisposte e comunicate. Le modifiche devono essere segnalate in qualsiasi momento. I corsi di formazione interattivi (online) hanno lo scopo di formare la forza lavoro e aggiornare regolarmente le loro conoscenze. Devono esserci comunicazioni coordinate e piani di emergenza accessibili a tutti. Inoltre, i cambiamenti necessari devono essere attentamente preparati, valutati e supportati da misure di riduzione del rischio e documentati. E ovviamente tutti dovrebbero agire di conseguenza in situazioni di emergenza. Se un fornitore di servizi di sicurezza ha sviluppato piani di emergenza affidabili per un’azienda, ma l’azienda non discute queste strategie con i dipendenti, un attacco informatico porterà rapidamente al panico o ad azioni negligenti che potrebbero aggravare il problema.
8. Rischi della catena di fornitura
È importante informarsi sui rischi della catena di fornitura in modo olistico e gestirli in modo efficace. Per fare ciò, le aziende devono fare affidamento su best practice comprovate e definite dal settore. Quanto segue vale sia per gli edifici commerciali che per i sistemi aziendali: i fornitori, i partner e altri terzi con accesso o applicazioni di accesso dovrebbero essere integrati nella gestione del rischio. Nel settore informatico da un lato devono essere messi a disposizione solo sistemi IT sicuri e dall’altro si deve garantire che gli stessi soggetti esterni non costituiscano un rischio per la sicurezza. Ecco perché zero trust e autenticazione a più fattori sono essenziali.
conclusione
Nell’ambito di queste otto aree di business, le aziende devono…
- Valutare legalmente la misura in cui sono interessati dai requisiti NIS 2,
- Ottieni una panoramica delle misure già implementate,
- Dare continuamente priorità all’attuazione delle misure,
- Determinare le spese finanziarie e di personale,
- Garantire la fattibilità delle misure utilizzando risorse interne ed esterne,
- Definire ruoli e responsabilità comprese le comunicazioni che coinvolgono risorse interne ed esterne
- Documentare in dettaglio le misure e le normative adottate.
Per garantire una protezione adeguata è necessario discutere quali rischi esistono, quali aree sono particolarmente vulnerabili e come possono essere protette nel miglior modo possibile. Ecco come le aziende applicano in modo affidabile NIS-2.
“Studente amichevole. Giocatore certificato. Evangelista dei social media. Fanatico di Internet. Cade molto. Futuro idolo degli adolescenti.”
More Stories
Posso averne uno? 15 post dolorosi sui bambini al supermercato
Le aziende spesso licenziano i dipendenti della Generazione Z subito dopo averli assunti
Coca-Cola chiude cinque sedi in Germania: colpiti centinaia di posti di lavoro | soldi