Beyond NIS - Accenture Security
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Accenture Security Beyond NIS
Beyond NIS Accenture Security
A due anni dal recepimento della direttiva NIS nell’ordinamento
italiano, in seguito ad un anno di pandemia segnato da sempre
più aggressive campagne di attacchi informatici, la Commissione
Europea accelera la revisione della Direttiva NIS, aggiornando
la cybersecurity strategy per il prossimo decennio mentre in Italia
il perimetro di sicurezza cibernetica prende sempre più forma
e consistenza.
Accenture propone un’analisi puntuale dello stato dell’arte
e delle evoluzioni future previste per supportare gli operatori
della sicurezza ad anticipare quello che è previsto nel settore
nei prossimi anni.
2
Beyond NIS Accenture Security
Executive Summary 84%
Degli attacchi utilizza
tecniche di phishing
Il 2020 è stato un anno particolare, Gli operatori di servizio essenziali (OSE) Delle aziende ha
fronteggiato forme
inevitabilmente segnato dalla pandemia. ed i fornitori di servizi digitali (DSP) si sono 71% di malware propagato
All’inizio del 2020 la maggior parte delle rivelati fondamentali per la tenuta socio-
fra dipendenti
aziende di tutto il mondo ha compreso economica in un momento così delicato,
di dover cambiare rapidamente l’approccio ma hanno dovuto loro stessi affrontare uno
al lavoro, adottando lo smart working scenario di minacce in evoluzione e crescita. 230 Nuove varianti
di malware identificati
per i propri dipendenti ed aprendo, come mila al giorno
mai prima d’ora, a cambiamenti radicali È stato dunque un anno in cui la tecnologia
nell’organizzazione. ha sancito la sua assoluta importanza
Questi cambiamenti hanno significato una ma che ha anche mostrato, con gli attacchi 6 Tempo medio per
mesi rilevare un breach
maggior esposizione delle aziende e dei loro di fine anno all’Agenzia Europea del Farmaco
dipendenti alle minacce cyber, specialmente e la campagna senza precedenti al colosso
se pensiamo a quelle organizzazioni che SolarWinds, i rischi che essa comporta.
non hanno avuto modo di pianificare con Da qui la necessità di innalzare ulteriormente “The time of innocence is over.
attenzione questo cambio di paradigma il livello di sicurezza in Europa a partire
We know that we are a target.
We need to modernize, reinforce,
culturale e tecnologico. dagli operatori di servizi essenziali. and adapt„
MARGARITIS SCHINAS
Vice Presidente Commissione Europea
Fonte dei dati: Threat Landscape Report (ETL), ENISA 3
Beyond NIS Accenture Security
Agenda dei contenuti
01 02 03
EU Threat Landscape Limiti della direttiva NIS Investimenti NIS
Overview delle minacce, Analisi dei limiti della direttiva NIS Post-Implementation analisi sugli investimenti
degli incidenti e dei threat actor che hanno portato ad un’ accelerazione che le organizzazioni hanno sostenuto
che hanno segnato il 2020 nel processo di revisione per l’adeguamento agli obblighi previsti
dalla direttiva NIS
04 05
NIS 2.0 ed altri interventi regolatori Accenture Approach
La proposta di ampliamento della direttiva Approccio «organico» per massimizzare il valore
per aumentarne efficacia e pertinenza degli investimenti, supportare la compliance
ed innalzare il livello di sicurezza dell’organizzazione
4
Beyond NIS Accenture Security
01
EU Threat Landscape
5
Beyond NIS / 01 . EU Threat Landscape Accenture Security
Introduzione
ENISA – European Union Agency
for Cybersecurity – ha emesso,
«Il Threat Landscape sta diventando
a ottobre 2020, l’ottava edizione estremamente difficile da mappare.
del Threat Landscape Report (ETL)
che riassume le principali tendenze
Non solo gli aggressori utilizzano
osservate nel panorama delle minacce nuove tecniche per eludere sistemi
cyber nel corso del 2020.
Il contenuto del report ETL si basa
di sicurezza, ma le minacce utilizzate
su informazioni disponibili da fonti aperte, negli attacchi mirati stanno crescendo
principalmente di natura strategica,
e copre più settori, tecnologie e contesti.
in complessità e precisione»
6
Beyond NIS / 01 . EU Threat Landscape Accenture Security
Preliminary Points
La superficie di attacco continua La motivazione alla base della maggior parte
ad espandersi mentre stiamo entrando degli attacchi informatici è di tipo finanziario
in una nuova fase della trasformazione digitale.
La «nuova normalità» che seguirà la pandemia I ransomware sono ampiamente diffusi con
COVID-19 sarà sempre più dipendente da conseguenze costose per molte organizzazioni.
un cyberspace sicuro e affidabile.
L’utilizzo delle piattaforme di social media Ancora molti incidenti di cybersecurity passano
in attacchi di tipo mirato è una tendenza seria inosservati o passa molto tempo prima che
che include diversi domini e tipologie di minacce. vengano rilevati.
Attacchi mirati e persistenti a dati di alto valore (es. proprietà Automatizzando la security le organizzazione potranno
intellettuale e segreti di stato) vengono pianificati ed eseguiti investire maggiormente nella prevenzione utilizzando la
meticolosamente da attori sponsorizzati da stati. Cyber Threat Intelligence come principale capabilities.
Attacchi distribuiti con un breve durata e ampio Il numero di vittime di phishing continua
impatto vengono utilizzati con finalità multiple a crescere poichè viene sfruttato l’elemento
ad esempio il furto di credenziali più debole, quello umano.
7
Beyond NIS / 01 . EU Threat Landscape Accenture Security
I 15 Top Threat
nella Cybersecurity
01 Malware 06 Denial of service 11 Phisical manipulation,
damage, theft and loss
02 Web-based attack 07 Identity theft 12 Information leakage
03 Phishing 08 Data breaches 13 Ransomware
04 Web-app attack 09 Insider threat
14 Cyberespionage
05 Spam 10 Botnets 15 Cryptojacking
Fonte dei dati: Threat Landscape Report (ETL), ENISA 8
Beyond NIS / 01 . EU Threat Landscape Accenture Security
Gli incidenti di sicurezza
più rilevanti negli ultimi anni
Gennaio Febbraio Marzo Aprile Maggio Giugno
MEGA cloud (NZ) colpito
da un data breach che Verification.io Norsk Hydro Facebook (US) riporta Thyssen-Krupp and
ha esposto 770 Milioni (US) ha esposto (NO) vittima di un data breach che ha Bayer (DE) colpiti Cinque ospedali in
di emails e 21 Milioni ca. 800 Milioni un attacco esposto 540 Milioni da un malware Romania (RO) colpiti dal
di passwords di records. ransomware di records utenti di spionaggio Badrabbit ransomware
2019
Dicembre Novembre Ottobre Settembre Agosto Luglio
Prosegur (SP) ha subito Siti web e l’emittente Mastercard (BL) L’ufficio delle Entrate fiscali City Power (ZA) è vittima di un attacco
un attacco ransomware UniCredit (IT) è stata nazionale televisiva della ha subito un data della Bulgaria (BL) ha subito ransomware che ha comportato
che ha bloccato vittima di un data breach Georgia ha subito un breach di ca. 90K di una violazione esponendo PII l’interruzione della fornitura dell’energia
l’operatività. di 3 Millioni di records. attacco informatico consumatori in Europa di tutti i cittadini maggiorenni elettrica a Johannesburg
Gennaio Febbraio Marzo Aprile
Il Ministero degli
Esteri austriaco INA Group (HR) ENTSO-E (BE) network Oltre 500.000 Zoom
(AT) ha subito vittima di un attacco compromessa (US) accounts in vendita
un cyberattack ransomware e vittima di un intrusione nel dark web
2020
Fonte dei dati: Threat Landscape Report (ETL), ENISA 9
Beyond NIS / 01 . EU Threat Landscape Accenture Security
Most desired assets by cybercriminals Infrastrutture server
Gli obiettivi I Data Breach 03
dei Cybercriminal
01
Proprietà industriale
e segreti commerciali più rilevanti
Proprietà industriale
e segreti commerciali 02 04 Dati
Informazioni Cloud service MEGA
02 classificate
Informazioni
statali/militari Informazioni
05
Chinese Job Seekers MongoDB
classificate
statali/militari
Infrastrutture Dati classificate
statali/militari
01 Dati
server finanziari
Indian Citizens MongoDB
03 Infrastrutture server
01 02 03 04 05 Dream Market Breach
Verifications.io Data Breach
Proprietà industriale Dati di
04
e segreti commerciali autenticazione
Dati di autenticazione
Canva Data Breach
ElasticSearch Server Breach
05
0 500 1000
Dati finanziari milioni di record
Fonte dei dati: Threat Landscape Report (ETL), ENISA 10Beyond NIS / 01 . EU Threat Landscape Accenture Security
Threat Actor
Molti incidenti hanno origine da sistemi automatizzati
Nation
sponsored che vengono forniti «as-a-service» e pagati in criptovaluta.
Nation Questi servizi includono la distribuzione di Ransomware,
sponsored
Command & Control (C2), Denial of Service Distribuiti
16% (DDoS), SPAM e altre attività illecite.
End user
16% 4
End%user
Spionaggio
4% System
8% Admin
Spionaggio
System
8% Interruzione
Criminalità
60% Admin
Politici
organizzata
10% Interruzione
Criminalità
60% Insider Finanziario Ritorsione
Politici
organizzata
10%
2%Insider Finanziario Ritorsione
2% Insider
La maggior parte degli attacchi
Insider
è guidata da motivazioni di tipo finanziario.
Fonte dei dati: Threat Landscape Report (ETL), ENISA 11Beyond NIS Accenture Security
02
Limiti della Direttiva NIS
12Beyond NIS / 02 . Limiti della Direttiva Accenture Security
La direttiva NIS ha come obiettivo principale un livello “elevato” di sicurezza
delle reti e dei sistemi informativi comune a tutti i Paesi dell’Unione Europea.
In parte questo obiettivo è stato raggiunto soprattutto rispetto
la definizione ed implementazione delle strategie nazionali.
Si è tuttavia assistito ad un disallineamento rispetto i drivers di identificazione
degli operatori (in alcuni casi identificati dal singolo stato membro
ed in altri basati su auto-identificazione degli operatori) ed anche rispetto i criteri
di base utilizzati per l’identificazione delle soglie di qualificazione OSE e DSP.
Questo mismatch ha comportato una differenza sostanziale fra Stati Membri
non solo in termini di numerosità di operatori identificati ma anche rispetto
a servizi complementari non previsti dall’elenco dei settori definiti dalla direttiva NIS.
Fonte dei dati: Sectorial implementation of the NIS Directive in the Energy sector 13Beyond NIS / 02 . Limiti della Direttiva Accenture Security
Other Other
State Driven
State Driven Public date
Public date
Lo Stato è responsabile
Lo Stato è responsabile from one sector10
from one sector 10
Date fromDate from eve
every
27% 27
di identificare l’OSE
di identificare
%determinati
in l’OSE in 19% % 19% % sector throug
sector through
base a basecriteri
a determinati criteri
17% 17 %
public-priva
public-private
e soglie e soglie
partnership
partnership
Operator Operator
Driven Driven
73% 73%Lo Stato pubblica
Lo Stato
i criteri
pubblica i criteri 37%
Discussion
Discussion
37%%
17 17% National
National
e le soglie e glieoperatori
le soglie e gli operatori
si identificano e
si si
identificano e si of expertsof experts statistics statistics
registrano come registrano
OSE come OSE
ALTRI
OSE DSP PRINCIPALI ALTRI SERVIZI
SERVIZI
Italia 553 37 0 Infrastrutture Informatiche
Spagna 132 55 18 Assicurazioni/Riassicurazioni
Germania 573 15 12 Servizi Governativi
Francia 127 70 20 Industria Chimica
Portogallo 1250 26 0 Ambiente (Waste Management)
Fonte dei dati: Sectorial implementation of the NIS Directive in the Energy sector 14Beyond NIS / 02 . Limiti della Direttiva Accenture Security
Alla luce degli obblighi che la nomina ad operatore di servizio essenziale comporta,
e dunque dei relativi investimenti, rientrare o meno nella categoria di OSE o DSP
potrebbe produrre a tendere degli squilibri fra paesi e fra operatori con la possibilità
di incidere sulla competitività generale.
La Commissione Europea ha avviato varie iniziative per recepire le osservazioni
degli operatori e delle parti interessate ed ha avviato una consultazione pubblica
prevista, dall’articolo 23 della stessa direttiva NIS, con l’obiettivo di verificarne
il funzionamento e l’applicazione nei singoli Stati membri.
Tale processo, concluso il 02 Ottobre 2020, ha contribuito ad identificare
i miglioramenti ed ampliamenti necessari a rendere la direttiva NIS più efficace
ed armonizzata rispetto l’attuale panorama regolatorio comunicatori.
In Italia è stata inoltre registrata una leggera difformità di requisiti ed obblighi
fra autorità competenti in termini di attività in programma, obbligo di nomine
e definizione formale degli assetti organizzativi, criteri di valutazione di maturità.
Seppur non particolarmente influente questa diversità interna ha comportato
problemi di ottimizzazione del lavoro per operatori nominati in più settori.
Fonte dei dati: Sectorial implementation of the NIS Directive in the Energy sector 15Beyond NIS Accenture Security
03
Investimenti NIS
16Beyond NIS / 03 . Investimenti NIS Accenture Security
La Direttiva NIS rappresenta a livello europeo Gli sforzi richiesti alle organizzazioni si sono concretizzati
il primo intervento regolatorio in materia di Cyber principalmente in allocazione budget dedicato, modifiche
Security che coinvolge tutti gli Stati Membri allo staffing relativo al personale operante nelle funzioni
dell’Unione Europea. di Security ed acquisizione di soluzioni appositamente
identificate per rispondere ai requisiti NIS.
Obiettivo principale della Direttiva è quello
di implementare un sistema di Risk Management
& Reporting per tutte quelle Organizzazioni
49,3%
categorizzate come Operatori di Servizi Essenziali ha ritenuto necessario
(OSE) e Provider di Servizi Digitali (DSP), integrare il proprio
considerati asset strategici per le singole Nazioni. organico a supporto
della Cyber Security.
Sebbene la stretta regolatoria avuta con la NIS
175K€
ha da un lato sortito effetti positivi, garantendo è il budget medio previsto
una maggiore maturità ed un più strutturato governo dalle Organizzazioni
dei processi di Cyber Security, dall’altro ha chiesto per i progetti
implementativi NIS.
molti sforzi alle Organizzazioni per garantire una piena
Compliance ai requisiti da essa imposti.
Fonte dei dati: NIS INVESTMENTS (2020), ENISA – DOI 10.2824/50973 17Beyond NIS / 03 . Investimenti NIS Accenture Security
Approccio
all’implementazione Ha definito e completato
un programma dedicato
della direttiva NIS all’implementazione
della Direttiva NIS.
58,6%
Non ha intenzione di
implementare la NIS
0,4%
Sebbene le Linee Guida rilasciate dalle Autorità Competenti
dei singoli Stati Membri abbiano dettato scadenze e modalità 10 %
Non ha intenzione
di implementazione rigide, ogni Organizzazione ha definito di definire un piano dedicato,
un proprio approccio alla tematica diversificando le modalità ma ha impiegato la NIS
di gestione degli aspetti progettuali legati all’implementazione come best practice da seguire
della Direttiva. Infatti alcune Organizzazioni hanno definito
veri e propri programmi implementativi della Direttiva NIS, 8%
altre hanno incluso le attività progettuali all’interno Ha identificato
dei propri programmi di Security. 23% la necessità
di dover pianificare
Ha definito
e implementare
un programma
Tale gestione ha ovviamente influito anche sulle modalità dedicato
un piano ma deve
di gestione del budget e delle iniziative in tal senso. ancora iniziare.
all’implementazione
della Direttiva NIS ma
la sua implementazione
è ancora in corso.
Fonte dei dati: NIS INVESTMENTS (2020), ENISA – DOI 10.2824/50973 18Beyond NIS / 03 . Investimenti NIS Accenture Security
82 % 81,7 % 58,6 %
delle organizzazioni sono le Organizzazioni sono le Organizzazioni
ha riconosciuto i benefici che hanno ritenuto che hanno portato
sulla Information Security necessario predisporre a termine le attività
apportati dalla Direttiva NIS. ed avviare al più presto progettuali legate alla NIS.
un programma
di implementazione NIS.
Fonte dei dati: NIS INVESTMENTS (2020), ENISA – DOI 10.2824/50973 19Beyond NIS / 03 . Investimenti NIS Accenture Security
La strategia delle organizzazioni
in risposta alla direttiva NIS
L’implementazione della Direttiva NIS > 5 M€ 0,0%
a livello Europeo ha visto uno spending
medio di circa 175.000€, con una numerosità 2,5 - 5 M€ 0,4%
di Organizzazioni importante per la fascia
di spesa 100.000€ – 250.000€. 1 - 2,5 M€ 1,8%
Questo trend risulta essere confermato
inoltre per il settore Energy, ma non dal Paese 250K - 1M € 22,2%
Italia, dove circa il 33% delle società
hanno eseguito uno spending posizionatosi 100 - 250 K€ 42,7%
nella fascia 250.000€ - 1.000.000€.
50 - 100 K€ 23,1%
È tuttavia doveroso specificare
che uno spending superiore < 50 K€ 8,9%
non equivale ad un incremento
maggiore della maturità. Nessun budget dedicato 0,9%
Fonte dei dati: NIS INVESTMENTS (2020), ENISA – DOI 10.2824/50973 20Beyond NIS / 03 . Investimenti NIS Accenture Security
Gli investimenti previsti risultano orientati all’istituzione
di una Cyber Security Strategy costituita secondo I principali Security Domain su cui si è reso necessario
i requisiti diramati all’interno della Direttiva NIS un intervento prioritario risultano essere stati:
e impattante in modo significativo specifici Security
Domain, Asset Tecnologici e Servizi, di cui le diverse • Governance, Risks and Compliance (64.5%), risultato
organizzazioni necessitano ottenere una piena atteso data la natura legislativa della Direttiva NIS stessa;
Compliance alla Direttiva e raggiungere così un livello • Network Security (48.6%), spiegabile con la forte spinta
adeguato di resilienza per i processi critici aziendali. in merito alle capabilities di Incident Detection & Response
data dalla Direttiva NIS;
Il trend relativo a tali Security Domain si riflette in modo • Business Continuity Management (33.1%), relazionato
consistente anche per il settore Energy ed il Paese Italia, comunque ad una gestione dei Security Incident
ed inoltre risulta coerente con la prioritizzazione delle linee e di capabilities di resilienza nei confronti di processi
di investimento in termini di tecnologie e servizi ed asset critici.
a supporto dei nuovi processi implementati.
Fonte dei dati: NIS INVESTMENTS (2020), ENISA – DOI 10.2824/50973 21Beyond NIS / 03 . Investimenti NIS Accenture Security
Gli investimenti tecnologici mirano ad un forte
miglioramento della gestione degli asset aziendali
dal punto di vista della Cyber Security, abilitando Security Incident &
64,0%
l’introduzione di processi di monitoraggio Event Log Collection
strutturato volti alla creazione di capabilities
Security Awareness
di reazione e di prevenzione robuste. & Training
63,6%
Network Intrusion
Detection & Prevention
34,2%
Business Continuity
Management
33,9%
Vulnerability
Management
28,4%
Security Testing 27,6%
Threat Intelligence 25,3%
Governance, Risk
& Compliance
7,6%
Fonte dei dati: NIS INVESTMENTS (2020), ENISA – DOI 10.2824/50973 22Beyond NIS / 03 . Investimenti NIS Accenture Security
Gli investimenti sui diversi Security Domain,
Ha impiegato Non ha previsto
con la seguente implementazione «external contractors» nuovi FTE
o miglioramento dei processi e delle procedure, Ha impiegato 20,4% Non ha previsto
e l’introduzione delle nuove tecnologie «external contractors»
20,4% 50,7 % nuovi FTE
necessarie a far fronte a quanto richiesto
dalla NIS 4FTE 50,7%
mediamente
hanno richiesto un incremento,
4FTE
assunti
per circa il 50% (49.3%) delle Organizzazioni mediamente
impattate, secondo differenti forme contrattuali, 28,9% assunti
dell’organico aziendale.
Ha assunto
28,9%
nuovo staff
Tale trend non risulta perfettamente in linea
Ha assunto
con le strategie mosse dal Paese Italia nuovo staff
e dalle Organizzazioni del settore Energy.
ITALIA 47,8% 15,2% 37% Non ha previsto nuovi FTE
ITALIA 47,8% 15,2% 37% HaNon ha previsto
impiegato nuovicontractors»
«external FTE
ENERGY 50% 10% 40% HaHa impiegato
assunto «external
nuovo staff contractors»
ENERGY 50% 10% 40% Ha assunto nuovo staff
Fonte dei dati: NIS INVESTMENTS (2020), ENISA – DOI 10.2824/50973 23Beyond NIS Accenture Security
04
Evoluzione Direttiva
NIS – NIS 2.0
24Beyond NIS / 04 . Evoluzione Direttiva NIS – NIS 2.0 Accenture Security
Il 16 dicembre 2020, la Commissione europea ha pubblicato la proposta di revisione
della direttiva NIS sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS 2)
che introduce molte novità.
Si amplia l’elenco dei servizi ritenuti essenziali e si rafforzano gli obblighi
di gestione del rischio informatico e di segnalazione degli incidenti più severi.
Tale modifica si rende necessaria per ottimizzare quanto già indirizzato dalla prima
versione della direttiva e come conseguenza della continua estensione dell’ecosistema
digitale europeo e dell’esponenziale incremento della superfice d’attacco disponibile
e livello di ingegnerizzazione e professionalità degli attori ostili.
25Beyond NIS / 04 . Evoluzione Direttiva NIS – NIS 2.0 Accenture Security
1
La proposta elimina la distinzione tra operatori di servizi essenziali
e fornitori di servizi digitali. Le entità sarebbero classificate in base
alla loro importanza e suddivise rispettivamente in entità
“essenziali” e “importanti”.
2
Una gamma più ampia di settori verrà ora classificata come
“entità essenziale” e sarà pertanto tenuta a implementare obblighi
di gestione del rischio informatico e di segnalazione degli incidenti
più significativi. Ciò significa che l’industria farmaceutica, le società Electronic Digital Waste Water Space
aerospaziali, i servizi di cloud computing, la pubblica amministrazione, Communications Services Management
le società di telecomunicazioni e i servizi di videoconferenza
rientreranno nel campo di applicazione.
Entità importanti includono fornitori digitali (mercati online,
motori di ricerca online e piattaforme di servizi di social networking),
servizi postali e di corriere; gestione dei rifiuti; cibo; produzione Special Prod Postal and Food Public
di altri dispositivi medici, computer ed elettronica, attrezzature Manufacturing Curier Administration
Services
per macchinari, veicoli a motore.
26Beyond NIS / 04 . Evoluzione Direttiva NIS – NIS 2.0 Accenture Security
3
Sarà introdotto un limite dimensionale chiaro, il che significa che tutte le entità di grandi e medie dimensioni
nei settori selezionati saranno incluse nel campo di applicabilità.
Saranno incluse le organizzazioni con più di 250 dipendenti, un fatturato di oltre 50 milioni di euro.
Le entità considerate medio-piccole non rientrano nell’ambito di applicazione a meno che, in base a criteri specifici
(ad esempio, non forniscono un prodotto / servizio fondamentale per le economie o le società degli Stati membri).
4
La proposta rafforza la sicurezza informatica della supply chain per le principali tecnologie dell’informazione
e della comunicazione.
Gli Stati Membri, in collaborazione con la Commissione Europea ed ENISA, effettueranno valutazioni coordinate
del rischio delle catene di approvvigionamento critiche, basandosi sull’approccio di successo adottato nel
contesto degli strumenti per la sicurezza del 5G (es. 5g Toolkit).
5
Le entità “essenziali” e “importanti” saranno soggette a regimi di vigilanza differenti:
• le entità “essenziali” saranno regolamentate ex ante, richiedendo quindi controlli continui e obblighi di segnalazione
• le entità “importanti” saranno regolamentate ex post, richiedendo quindi alle autorità competenti di agire
quando viene fornita la prova che un’entità importante non soddisfa i requisiti di sicurezza e notifica degli incidenti.
27Beyond NIS / 04 . Evoluzione Direttiva NIS – NIS 2.0 Accenture Security
6
La sicurezza di base sarà rafforzata richiedendo un approccio di gestione del rischio con un elenco di requisiti di sicurezza
di base che devono essere soddisfatti, che includerà, come requisito minimo, la risposta agli incidenti e la gestione
delle crisi, la gestione e la divulgazione delle vulnerabilità, i test di sicurezza e l’uso efficace della crittografia.
L’ENISA dovrà sviluppare e mantenere un registro europeo delle vulnerabilità per le vulnerabilità scoperte.
7
Sarà introdotto un approccio in due fasi alla segnalazione degli incidenti:
tutte le entità dovranno segnalare l’incidente, una volta che ne vengono a conoscenza ed entro le prime 24 ore,
con una semplice notifica alle autorità competenti. Dovrà poi essere presentato un rapporto completo dell’incidente
entro e non oltre un mese dalla notifica iniziale.
8
Come regola generale, le entità essenziali e importanti sono considerate sotto la giurisdizione dello Stato Membro,
tuttavia alcuni tipi di entità, inclusi i fornitori di servizi di cloud computing, i fornitori di servizi di data center e i fornitori
di reti di distribuzione di contenuti saranno sotto la giurisdizione dello Stato membro in cui hanno la loro sede principale
nell’UE, semplificando i requisiti legali.
28Beyond NIS / 04 . Evoluzione Direttiva NIS – NIS 2.0 Accenture Security
Sarà introdotta una nuova soglia minima per le sanzioni in tutta l’UE.
9
Tali sanzioni potranno ammontare fino a 10 milioni di euro o al 2% del fatturato totale mondiale annuo
dell’operatore interessato. Le norme precedenti consentivano alle autorità nazionali di sicurezza informatica
di scegliere l’importo (In Italia 150.000 euro).
Per le entità “essenziali”, la commissione propone che le autorità nazionali abbiano il potere di sospendere le licenze
e imporre una sospensione temporanea dei servizi (inclusa la sospensione di un amministratore delegato),
in quella che è stata definita una misura di “ultima istanza”. Le autorità potrebbero anche designare un addetto
al controllo con compiti ben definiti per un determinato periodo di tempo per sorvegliare il rispetto dei loro obblighi.
Perimetro Di Sicurezza Cibernetico Link al documento
Proposal Nis 2.0 Link al documento Annex
Eu Cybersecurity Strategy Link al documento
Resilience Critical Entities Link al documento Annex
29Beyond NIS / 04 . Evoluzione Direttiva NIS – NIS 2.0 Accenture Security
Altri Interventi
Regolatori
La proposta di evoluzione della direttiva NIS
si innesta in un percorso generale di irrobustimento
della Cyber Resilience tramite nuovi interventi
regolatori europei ed azioni legislative
di rafforzamento dei singoli stati membri.
30Beyond NIS / 04 . Evoluzione Direttiva NIS – NIS 2.0 Accenture Security
Perimetro di Sicurezza
Cibernetico
A fine dicembre, con le comunicazioni di inserimento nell’elenco alle aziende
in perimetro, è entrato nella fase operativa il Perimetro di Sicurezza Cibernetica.
Prime scadenze, a sei mesi dalla comunicazione, sono:
• Predisporre e aggiornare (con cadenza almeno annuale) l’elenco di beni ICT
di rispettiva pertinenza, con l’indicazione delle reti, dei sistemi informativi
e dei servizi informatici che li compongono.
• Predisporre un elenco con la descrizione dell’architettura
e della componentistica tecnologica.
• Obbligo di notifica in caso di incidente rilevante.
31Beyond NIS / 04 . Evoluzione Direttiva NIS – NIS 2.0 Accenture Security
EU Cybersecurity Strategy
Il 12 Dicembre 2020 è stata pubblicata la nuova strategia di cybersecurity dell’Unione.
Tre le aree principali Resilienza e sovranità tecnologica (2) Capacità operative di
prevenzione, rilevazione e risposta ai rischi cyber (3) Promozione del cyberspazio
globale e aperto.
• Sviluppo European Cyber Shield
• Sviluppo Secure Quantum Communication
• Regolamenti per dispositivi e servizi digitali
• Sviluppo di un DNS Resolver pubblico europeo
• Implementazione del Cyber competence hub Europeo
• Creazione del Joint Cyber Unit
• Istituzione del EU cyber Intelligence working Group
32Beyond NIS / 04 . Evoluzione Direttiva NIS – NIS 2.0 Accenture Security
Resilienza dell’Entità Essenziali
Il 12 Dicembre 2020 è stata proposta una nuova direttiva (ad integrazione
della direttiva NIS2) indirizzata alle «entità essenziali» al fine di prevenire,
rispondere e ripristinare i servizi a fronte di un incidente rilevante
e per indirizzare rischi non-cyber. La nuova direttiva prevederà :
• Obbligo di reporting comune
• Misure tecniche ed organizzative
• Cooperazione stati membri
• Definizione e condivisione Best practices
33Beyond NIS Accenture Security
05
L’approccio Accenture
34Beyond NIS / 05 . Accenture Approach Accenture Security
Approccio
Organico
Negli ultimi anni abbiamo assistito
ad un importante aumento degli investimenti
in Cyber Security ed innalzamento della security
posture anche grazie alla grande spinta
del regolamento GDPR prima
e della Direttiva NIS dopo.
I nuovi impianti regolatori richiedono tuttavia
di ottimizzare gli sforzi concentrandosi su precise
capabilities per coniugare compliance
ed aumento della security posture, oltre
che efficientare gli investimenti riducendo i costi.
35Beyond NIS Accenture Security
Selling Infosec
Informazioni richieste dalle Autorità Informazioni valorizzanti interne
Ecosystem Compliance Risk $ Cyber Performance Supporto Supporto
Map Status Analysis Risks Iniziative Investimenti Investimenti
Continous & Quantitative Risk Management Security Indicators
Sistemi di analisi e prediction con capacità di generazione
Scope Context & Criteria
Compliance Ecosystem Map real-time di informazioni qualificanti per autorità ed il top
Assess Risks management.
Communication
& Consultation
& Reviewing
Monitoring
Risk Identification Securiy Posture / Cyber Risks
Risk Analysis
Risk Evaluation
Costi / Benefici Progetti/misure
Un’evoluzione degli approcci alla gestione delle vulnerabilità
Risk Treatment dei sistemi con introduzione capillare dei principi di built-in
Capacità di rappresentazione ed analisi di security posture,
risks, compliance, efficacia investimenti. security, programmi di bug-hunting e testing secondo i modelli
Recording & Reporting
Va & Assurance in sviluppo da ENISA e CVCN (Centro di valutazione e
Quantificazione dei rischi cyber di processi
e servizi automatizzata con input operativi continui
certificazione Nazionale).
Corrective
Secure Supply Chain Va Scan
Actions
BUG BOUNTY
SECDEVOPS
Capacità di monitoraggio cyber dei propri fornitori di prodotti
3. Post Stipula
Reccomend Identify e servizi in ogni fase del ciclo di procurement e delivery secondo
2. Durante Acquisizione
quanto previsto dalle linee guida
1. Pre-Acquisizione
ENISA – CVCN TESTING MODEL
Gestione e monitoraggio della supply chain Estensione ed evoluzione dei processi di VA AgID/DIS. Una gestione del rischio automatizzata e quantitativa
in ogni sua fase (Linee Guida AgID/DIS) e Test secondo modelli previsti da ENISA e CVCN.
possibile grazie alle informazioni provenienti dai processi operativi.
Ecosystem Mapping
SERVICE ACCREDITATION ECOSYSTEM
Un framework multi-compliance dettagliato ed applicabile
Critical Addet (CA) Analysis And Dependencies
modularmene su un chiaro e preciso ecosistema sotteso
Service Accreditation
Processes Application Data Infrastrucure
Peoples/Subcontractor
Dependecy all’erogazione dei servizi.
Legacy System Ics/Scada IoT/I.Iot
One Framework
Esteso con Applicabili a diversi Monitorando e valutando
Progettualità
Framework Unico Misure Dettaglio Livelli Assurance
e Budget
36CONTATTI About Accenture
Accenture è un’azienda globale
Salvatore Torrisi di servizi professionali con capacità
RES – Accenture Security Portfolio Lead in ICEG avanzate in campo digitale, cloud
e security. Combinando un’esperienza
salvatore.torrisi@accenture.com unica e competenze specialistiche
360 1043965 in più di 40 settori industriali, fornisce
Ettore Galluccio servizi in ambito Strategy
RES - Utilities Security Lead & Consulting, Interactive, Technology
NIS Offering Lead e Operations, sostenuta dalla più
ampia rete di Advanced Technology
ettore.galluccio@accenture.com e Intelligent Operations centers a livello
334 2184236 mondiale. I nostri 514.000 talenti
combinano ogni giorno tecnologia
e ingegno umano, servendo clienti
in oltre 120 paesi. Accenture abbraccia
la potenza del cambiamento per
Il contenuto presente in questo documento si basa sulle informazioni raccolte e comprese al momento della sua creazione.
Le informazioni contenute in questo report sono di natura generale e non tengono conto delle esigenze specifiche
creare valore e successo condiviso
del Vostro ecosistema IT e della Vostra rete, che possono differire da quanto qui riportato. per i clienti, le persone, gli azionisti,
Pertanto, Accenture fornisce le informazioni e il contenuto “così come sono” senza dichiarazione o garanzia e non si assume
alcuna responsabilità per qualsiasi azione o mancata azione intrapresa in risposta alle informazioni contenute o citate i partner e le comunità.
in questo report.
Il lettore è responsabile di determinare se seguire o meno i suggerimenti, le raccomandazioni
www.accenture.it
o le potenziali attenuazioni illustrate in questo rapporto, interamente a propria discrezione. www.accenture.comPuoi anche leggere
