NIS2: come l’ITSM facilita la conformità

1. NIS2 cos’è e quali sono gli obiettivi
2. NIS2: ambito, requisiti e disposizioni
3. Come l’ITSM può supportare la conformità NIS2
4. HDA ITSM: una soluzione concreta per la compliance NIS2

NIS2 (Network & Information Security Directive) è la Direttiva Europea che ha introdotto un quadro giuridico europeo volto a rafforzare la resilienza agli attacchi informatici nei settori critici che riguardano, cioè, le infrastrutture e i servizi essenziali per il funzionamento della nostra società.

Una regolamentazione divenuta ormai essenziale nell'attuale era digitale, caratterizzata costantemente da minacce informatiche.

In questo articolo approfondiremo cos'è NIS 2 e quale ruolo gioca l'IT Service Management (ITSM) nella conformità.

NIS2 cos’è e quali sono gli obiettivi

In un’epoca caratterizzata da attacchi informatici sempre più frequenti e sofisticati, NIS 2 rappresenta una risposta concreta dell’Unione Europea per uniformare le pratiche di sicurezza digitale e migliorare la capacità di risposta degli Stati membri.

Si parla di NIS2 in quanto la direttiva NIS1 è stata il primo approccio dell'UE per migliorare la sicurezza informatica per i servizi essenziali e gli operatori di infrastrutture critiche, come i settori dell'energia, dei trasporti e della sanità.

NIS1 è stato un solido inizio, ma presentava alcuni limiti: come un ambito di applicazione relativamente limitato e livelli di attuazione variabili tra gli Stati membri. Ciò ha creato la necessità di un approccio più solido e uniforme, ovvero NIS2.

La Direttiva NIS2, pure basandosi su NIS1, ne amplia l'ambito di applicazione, inasprendo i requisiti di sicurezza e ponendo maggiore enfasi sulla gestione del rischio e sulla risposta agli incidenti. È più inclusiva e rigorosa, riflettendo l'evoluzione del panorama della sicurezza informatica e la crescente minaccia degli attacchi informatici.

Rispetto alla precedente NIS 1, la nuova direttiva:

  • • amplia l’ambito di applicazione,
  • • introduce obblighi più stringenti,
  • • stabilisce requisiti comuni per la gestione dei rischi e degli incidenti.

NIS 2 ha molto in comune con altre importanti direttive dell'UE come GDPR e DORA, riflettendo l'obiettivo comune di aumentare la sicurezza e la resilienza nel nostro mondo sempre più digitale.

Analogamente, DORA, rivolta alle entità finanziarie, si concentra sul rafforzamento della resilienza, soprattutto contro le minacce informatiche. Ne abbiamo parlato in un articolo dedicato.

Che si tratti di dati personali, sistemi finanziari o infrastrutture critiche, queste direttive mirano a gestire i rischi e a prevenire potenziali interruzioni, dimostrando l'impegno dell'UE a mantenere lo spazio digitale sicuro e protetto.

NIS2: ambito, requisiti e disposizioni

Lo standard NIS2 mira ad aumentare il livello di sicurezza informatica nell'UE: coinvolge una gamma più ampia di soggetti rispetto alla NIS1, includendo anche aziende dei settori energia, sanità, trasporti, telecomunicazioni, finanza, pubblica amministrazione e infrastrutture digitali, imponendo misure di sicurezza informatica più rigorose (comprese le catene di fornitura).

La direttiva NIS2 vuole stabilire e mantenere solide politiche di sicurezza informatica, ponendo anche delle responsabilità effettive e delle sanzioni amministrative.

Scadenziario previsto:

Maggio 2025: aggiornamento delle informazioni raccolte nella fase di censimento;

Gennaio 2026: attivazione del processo di notifica degli incidenti significativi al CSIRT (Computer Security Incident Response Team);

Aprile 2026: categorizzazione dei servizi per l’applicazione proporzionale degli obblighi;

Settembre 2026: completamento dell’implementazione delle misure di sicurezza di base.

 

Requisiti NIS2:

Come indicato nelle disposizioni dell'articolo 21 della Direttiva NIS2, le organizzazioni sono tenute a implementare specifiche misure di sicurezza e pratiche di gestione del rischio. Tra queste:

  • • Analisi dei rischi e politiche di sicurezza dei sistemi informatici.
  • • Gestione degli incidenti (prevenzione, rilevamento, risposta).
  • • Continuità operativa e gestione delle crisi.
  • • Sicurezza della catena di fornitura.
  • • Sicurezza delle reti e dei sistemi informatici.
  • • Misure di gestione del rischio di sicurezza informatica.
  • • Pratiche di igiene informatica e formazione sulla sicurezza informatica.
  • • Uso della crittografia e della cifratura.
  • • Sicurezza delle risorse umane, controllo degli accessi e gestione delle risorse.
  • • Uso dell'autenticazione multifattoriale.

 

 

Sintesi delle aree di intervento per l’adozione delle misure di sicurezza da parte dei soggetti “essenziali” e “importanti”, nel contesto nazionale:

Governo (Governance): mappatura del contesto organizzativo, adozione di Policy sulla cybersicurezza, adozione di strategie e processi di gestione del rischio, definizione di ruoli, responsabilità e poteri, effettuazione di controlli rigorosi sui fornitori.

Identificazione (Identify): mappatura degli asset rilevanti e dei flussi di rete, definizione dei piani di ripristino in caso di disastro, miglioramento continuo dei controlli, valutazione dei rischi su asset e fornitori, definizione e attuazione di procedure di patch management

Protezione (Protect): identità, autenticazione e controllo accessi, monitoraggio degli amministratori di sistema, formazione e consapevolezza del personale, cifratura dei dati, resilienza infrastrutturale, sicurezza delle piattaforme

Rilevamento (Detect): adozione di soluzione per la protezione / monitoraggio continuo

Risposta (Respond): gestione degli incidenti e comunicazione dei progressi di ripristino agli stakeholder interni ed esterni

Ripristino (Recover): esecuzione dei piani di ripristino in risposta agli Incident e comunicazioni

 

Le organizzazione che conducono regolarmente audit di sicurezza e valutazione del rischio, vedono una riduzione del 25% nelle violazioni della sicurezza.

Fonte

Come l’ITSM può supportare la conformità NIS2

L’IT Service Management (ITSM) rappresenta un approccio strutturato alla gestione dei servizi IT, comprende un insieme di pratiche e processi che aiutano le organizzazioni a fornire servizi IT in modo efficiente ed efficace e, pertanto, costituisce una leva strategica per rispondere ai requisiti della NIS2.

Ecco come i principali processi ITSM supportano la conformità:

  • 1. Gestione degli incidenti

NIS 2 richiede la notifica degli incidenti significativi entro 24 ore, con aggiornamenti a 72 ore e un report finale entro un mese. L’ITSM consente:

  • • tracciamento e categorizzazione degli incidenti;
  • • piani di risposta strutturati;
  • • automazione del flusso di escalation e reporting.

 

  • 2. IT Asset Management (ITAM)

La conformità richiede un inventario aggiornato e controllato delle risorse IT. L’ITAM supporta:

  • • la mappatura di asset hardware e software;
  • • la gestione delle relazioni tra gli asset e con i servizi di business;
  • • l’analisi dell’impatto in caso di incidente;
  • • l’identificazione dei rischi e delle e vulnerabilità associati alle risorse.

 

  • 3. Gestione del rischio

I processi ITSM aiutano a:

  • • valutare periodicamente i rischi cyber;
  • • implementare misure di mitigazione;
  • • monitorare e migliorare continuamente i controlli di sicurezza.

 

  • 4. Gestione dei cambiamenti

L’adozione di nuove tecnologie o modifiche ai sistemi IT comporta nuovi rischi. Con un processo strutturato di change management si:

  • • valutano gli impatti prima dell’implementazione;
  • • riducono le vulnerabilità introdotte da modifiche non controllate;
  • • documenta l’intero ciclo di vita del cambiamento.

 

  • 5. Gestione dei problemi

L’identificazione delle cause profonde e la risoluzione proattiva dei problemi:

  • • riduce la probabilità di incidenti ripetuti;
  • • contribuisce al miglioramento continuo della postura di sicurezza.

 

Le organizzazioni con processi formali di gestione degli incidenti hanno registrato una diminuzione del 61% negli incidenti di sicurezza

Fonte

HDA ITSM: una soluzione concreta per la compliance NIS2

HDA ITSM, la storica piattaforma di Pat, integra in un’unica soluzione tutti gli strumenti e i processi necessari per supportare un’organizzazione nel percorso verso la conformità a NIS2.

Funzionalità principali di HDA ITSM:

  • Gestione centralizzata degli Incidenti: tutti gli eventi critici vengono registrati, tracciati e gestiti da un’unica interfaccia, tracciando e categorizzando gli incident con flussi di escalation e reporting strutturati.
  • Gestione dei Problem: identifica e gestisce i problemi attraverso l'uso di metodi preventivi e l'identificazione delle cause sottostanti per prevenire problemi futuri. Grazie a flussi strutturati, aiuta a eliminare gli incidenti ricorrenti e a ridurre al minimo l'impatto delle interruzioni impreviste.
  • Gestione dei Change: il processo consente di ridurre i rischi e minimizzare l'impatto di possibili incidenti che possono pregiudicare il corretto funzionamento dei servizi e impattare sulla sicurezza. Consente inoltre il tracciamento e l’approvazione di ogni cambiamento per garantire che non vengano introdotte nuove vulnerabilità.
  • CMDB e Asset Management: consente di costruire un inventario dettagliato e aggiornato di asset fisici, software, CI e dipendenze tra le componenti e i servizi di business, fondamentale per una gestione efficace del rischio.
  • Automazione del reporting: la generazione automatica di report per gli incidenti riduce gli errori manuali e semplifica la comunicazione con le autorità (es. CSIRT).
  • Integrazione con strumenti esterni: compatibilità con soluzioni di Inventory, Discovery, monitoraggio eventi di sicurezza e correlazioni, per una visione completa dell’infrastruttura IT e una risposta tempestiva alle minacce.
  • Monitoraggio e Alerting sfruttando Big Data e AI: HDA ITSM si integra con BIG4IT e consente di monitorare in modo continuo sistemi complessi e dinamici, rilevando e, se possibile, prevedendo comportamenti critici e automatizzando la risoluzione delle problematiche.
  • Knowledge Management: il processo di Lesson Learned consiste nella raccolta, analisi e documentazione delle esperienze acquisite durante la gestione di incidenti, con l’obiettivo di identificare cosa ha funzionato, evitare il ripetersi di errori, rafforzare le pratiche efficaci, migliorare la risposta a incidenti futuri e contribuire alla formazione e alla consapevolezza del personale grazie all’incremento della Knowledge Base.

 

La conformità a NIS2 non si ottiene in modo estemporaneo: richiede un approccio metodico e graduale, strumenti adeguati e processi strutturati.

HDA ITSM di Pat rappresenta un alleato prezioso per le organizzazioni che vogliono prepararsi a rispettare la direttiva, semplificando la gestione operativa e garantendo al contempo un elevato livello di sicurezza e controllo.