COMPLIANCE ALLA DIRETTIVA NIS
Assistenza per la Compliance Aziendale alla Direttiva NIS
Gli OSE sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l'economia nei settori sanitario, dell'energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali.
Gli OSE sono chiamati ad adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi e a prevenire e minimizzare l’impatto degli incidenti a carico della sicurezza delle reti e dei sistemi informativi (art. 14), al fine di assicurare la continuità del servizio; hanno inoltre, l’obbligo di notificare, senza ingiustificato ritardo, gli incidenti che hanno un impatto rilevante, rispettivamente sulla continuità e sulla fornitura del servizio, al Computer Security Incident Response Team (CSIRT) italiano, informandone anche l’Autorità competente NIS di riferimento. Sono previste anche delle sanzioni a carattere amministrativo nel caso gli OSE non rispettino la Direttiva NIS, ex art. 21.
A livello nazionale, le Autorità competenti all'attuazione della normativa Ue hanno elaborato le linee guida per la gestione dei rischi e la prevenzione e mitigazione degli incidenti che hanno un impatto rilevante sulla continuità e sulla fornitura dei servizi essenziali pubblicate luglio 2019.
Le linee guida, basate sul framework nazionale per la cybersecurity, Framework Nazionale di cyber security” - Versione 2.0 Febbraio 2019, (di derivazione del framework Core CSF del NIST con le funzioni principali: Identify, Protect, Detect, Respond e Recover e della ISO 27001), saranno condivise nel mese di luglio con i 465 Operatori di servizi essenziali (OSE) individuati nel dicembre 2018: ossia organizzazioni pubbliche e private che garantiscono i servizi indispensabili nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile. Una volta inviata la comunicazione formale, gli OSE avranno tra i quattro ed i dodici mesi di tempo per uniformarsi alle linee guida, a seconda delle specificità settoriali.
Le linee guida suddividono in tre fasi le azioni da intraprendere da parte degli OSE:
Fase 1: Analisi dei rischi e autovalutazione rispetto al framework nazionale (4 mesi);
Fase 2: implementazione delle attività con priorità alta individuate dall’autovalutazione (5 mesi);
Fase 3: implementazione delle attività con priorità bassa individuate dall’autovalutazione (3 mesi);
con le relative comunicazioni/notifiche per ogni fase.
Gli OSE sono chiamati ad adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi e a prevenire e minimizzare l’impatto degli incidenti a carico della sicurezza delle reti e dei sistemi informativi (art. 14), al fine di assicurare la continuità del servizio; hanno inoltre, l’obbligo di notificare, senza ingiustificato ritardo, gli incidenti che hanno un impatto rilevante, rispettivamente sulla continuità e sulla fornitura del servizio, al Computer Security Incident Response Team (CSIRT) italiano, informandone anche l’Autorità competente NIS di riferimento. Sono previste anche delle sanzioni a carattere amministrativo nel caso gli OSE non rispettino la Direttiva NIS, ex art. 21.
A livello nazionale, le Autorità competenti all'attuazione della normativa Ue hanno elaborato le linee guida per la gestione dei rischi e la prevenzione e mitigazione degli incidenti che hanno un impatto rilevante sulla continuità e sulla fornitura dei servizi essenziali pubblicate luglio 2019.
Le linee guida, basate sul framework nazionale per la cybersecurity, Framework Nazionale di cyber security” - Versione 2.0 Febbraio 2019, (di derivazione del framework Core CSF del NIST con le funzioni principali: Identify, Protect, Detect, Respond e Recover e della ISO 27001), saranno condivise nel mese di luglio con i 465 Operatori di servizi essenziali (OSE) individuati nel dicembre 2018: ossia organizzazioni pubbliche e private che garantiscono i servizi indispensabili nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile. Una volta inviata la comunicazione formale, gli OSE avranno tra i quattro ed i dodici mesi di tempo per uniformarsi alle linee guida, a seconda delle specificità settoriali.
Le linee guida suddividono in tre fasi le azioni da intraprendere da parte degli OSE:
Fase 1: Analisi dei rischi e autovalutazione rispetto al framework nazionale (4 mesi);
Fase 2: implementazione delle attività con priorità alta individuate dall’autovalutazione (5 mesi);
Fase 3: implementazione delle attività con priorità bassa individuate dall’autovalutazione (3 mesi);
con le relative comunicazioni/notifiche per ogni fase.
SCOPI:
Supportare le aziende critiche lungo il percorso di adeguamento alla sicurezza dei dati richiesta dalla direttiva NIS e dal perimetro di sicurezza cibernetica nazionale, attraverso metodologie consolidate e internazionalmente riconosciute.
A CHI E' RIVOLTO:
Tutte le Aziende appartenenti alla categoria OSE e FSD.
CONTENUTI:
Il servizio di Consulenza prevede un percorso di accompagnamento alla Governance ed al rispetto della direttiva NIS e all'adozione delle linee guida attraverso metodologie consolidate e di riferimento internazionale attraverso un processo di “continuous improvement”, in ottica di un approccio olistico della sicurezza cibernetica.
In particolare l’attività sarà così suddivisa:
Fase 1:
- Identificazione dei rischi, analisi dei rischi e trattamento degli stessi sia documentale che in loco (per la sede principale e per i nodi principali di riferimento quali:
- Autovalutazione attraverso il modello Core CSF NIST integrato con i controlli della norma ISO 27001;
- Individuazione delle attività prioritarie che emergono dall’autovalutazione;
- Supporto alla compilazione del modulo richiesto dalle linee guida NIS;
- Supporto all'invio della comunicazione all'Autorità competente.
Fase 2:
- Supporto all’implementazione delle attività con alta priorità;
- Eventuale implementazione delle attività e redazione della documentazione necessaria (da decidere con il Cliente),
- Supporto all'invio della comunicazione all'Autorità competente.
Fase 3:
- Supporto all'implementazione delle attività con bassa priorità;
- Eventuale implementazione delle attività e redazione della documentazione necessaria (da decidere con il Cliente),
- Supporto all'invio della comunicazione all'Autorità competente.
In particolare l’attività sarà così suddivisa:
Fase 1:
- Identificazione dei rischi, analisi dei rischi e trattamento degli stessi sia documentale che in loco (per la sede principale e per i nodi principali di riferimento quali:
- Autovalutazione attraverso il modello Core CSF NIST integrato con i controlli della norma ISO 27001;
- Individuazione delle attività prioritarie che emergono dall’autovalutazione;
- Supporto alla compilazione del modulo richiesto dalle linee guida NIS;
- Supporto all'invio della comunicazione all'Autorità competente.
Fase 2:
- Supporto all’implementazione delle attività con alta priorità;
- Eventuale implementazione delle attività e redazione della documentazione necessaria (da decidere con il Cliente),
- Supporto all'invio della comunicazione all'Autorità competente.
Fase 3:
- Supporto all'implementazione delle attività con bassa priorità;
- Eventuale implementazione delle attività e redazione della documentazione necessaria (da decidere con il Cliente),
- Supporto all'invio della comunicazione all'Autorità competente.