Come funziona LensOne?
LensOne è un prodotto SaaS (Software as a Service) sviluppato da Nexury, che, tramite controlli OSINT (Open Source INTelligence) è in grado di monitorare un dominio, proprio o di terzi, clienti e/o fornitori.
LensOne permette di monitorare in tempo immediato la superficie di attacco potenziale a cui il dominio è soggetto garantendo la compliance alla direttiva NIS2 e alle good practice ENISA per il monitoraggio della supply chain.
Che cos’è e a chi si applica la Direttiva NIS2?
La normativa nota come NIS2 (Network and Information Security Directive 2) è la Direttiva (UE) 2022/2555 che mira a rafforzare la resilienza e le capacità di risposta agli incidenti di sicurezza informatica cibernetica nell’Unione Europea. La normativa europea è stata recepita in Italia con il Decreto Legislativo 138/2024.
La NIS2 si applica ai si applica ai soggetti pubblici o privati che operano in settori ad alta criticità o in altri settori critici che offrono servizi di vitale importanza per le principali attività sociali ed economiche nel mercato interno.
La NIS2 si applica sia a medie imprese che occupano meno di 250 persone, il cui fatturato annuo non supera i 50 milioni di EUR oppure il cui totale di bilancio annuo non supera i 43 milioni di EUR e che non sono considerate piccole o microimprese che a piccole o microimprese, operanti nei settori critici, quando queste forniscono servizi di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico; servizi di fiducia oppure registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio. In aggiunta i fornitori primari e strategici delle aziende sottoposte alla NIS2 sono a loro volta soggetti alla normativa.
Sono ugualmente soggetti alla direttiva NIS 2, le imprese che sono l’unico fornitore in uno Stato membro di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali, oppure quando una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica o comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero; o, ancora se il soggetto sia critico in ragione della sua particolare importanza a livello nazionale regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nello Stato membro.
La direttiva prevede che sono soggetti alla NIS2 anche gli enti della pubblica amministrazione a livello centrale o regionale quando, a seguito di una valutazione basata sul rischio, l’ente fornisce dei servizi una cui perturbazione potrebbe avere un impatto significativo su attività sociali o economiche critiche.
Gli stati membri sono, però, liberi di estendere l’applicazione anche ad altri soggetti.
Quali sono i settori interessati dalla NIS2?
La NIS2 si applica a settori individuati ad alta criticità ossia quelli dell’energia elettrica, del teleriscaldamento e teleraffrescamento, di petrolio, gas e idrogeno; oltre che ai settori di trasporto aereo, ferroviario, per vie d’acqua e su strada.
Sono, inoltre, settori ad alta criticità quello, bancario, di infrastrutture mercati finanziari, sanitario, di gestione e fornitura di acqua potabile e acque reflue, le infrastrutture digitali, la gestione servizi di tecnologia dell’informazione (TIC) B2B, pubbliche amministrazioni e spazio
Ai sensi della direttiva, sono considerati settori critici quelli postali e di corriere, di gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, fabbricazione, fornitori di servizi digitali e ricerca
Quali sono gli obblighi principali previsti dalla NIS2?
Gli Stati membri devono provvedere affinché gli organi di gestione dei soggetti essenziali e importanti approvino le misure di gestione dei rischi di cibersicurezza individuati dall’art. 21 della Direttiva NIS2.
In particolare, i soggetti essenziali e importanti devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.
Le misure informatiche da adottare devono essere basate su un approccio multirischio finalizzato a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti.
Perché le misure siano compliant, esse devono comprendere almeno gli elementi seguenti: politiche di analisi dei rischi e di sicurezza dei sistemi informatici; gestione degli incidenti; continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi; sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi; sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità; strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza; pratiche di igiene informatica di base e formazione in materia di cibersicurezza; politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura; sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi; uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
I soggetti sottoposti alla direttiva NIS2 sono sottoposti a controlli da parte delle pubbliche autorità e quali sono le sanzioni?
I soggetti essenziali sono soggetti al controllo da parte dell’autorità competente, in Italia l’Autorità per la Cybersicurezza Nazionale che può operare ispezioni in loco e vigilanza a distanza, compresi controlli casuali, effettuati da professionisti formati; audit sulla sicurezza periodici e mirati effettuati da un organismo indipendente o da un’autorità competente; audit ad hoc, ivi incluso in casi giustificati da un incidente significativo o da una violazione della presente direttiva da parte del soggetto essenziale; scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, non discriminatori, equi e trasparenti, se necessario in cooperazione con il soggetto interessato; richieste di informazioni necessarie a valutare le misure di gestione dei rischi di cibersicurezza adottate dal soggetto interessato, comprese le politiche di cibersicurezza documentate, nonché il rispetto dell’obbligo di trasmettere informazioni alle autorità competenti a norma dell’articolo 27 della NIS 2.
L’autorità di settore può, inoltre, formulare richieste di accesso a dati, documenti e altre informazioni necessari allo svolgimento dei compiti di vigilanza; richieste di dati che dimostrino l’attuazione di politiche di cibersicurezza, quali i risultati di audit sulla sicurezza effettuati da un controllore qualificato e i relativi elementi di prova.
La mancata ottemperanza agli obblighi previsti dalla NIS comporta l’applicazione di sanzioni sia sul piano penale che sul piano amministrativo.
Salvo che il fatto non costituisca reato, l’inosservanza delle disposizioni in materia di sicurezza informatica è punita, con una sanzione amministrativa pecuniaria:
a) da euro 250.000 a euro 1.500.000 per l’inosservanza delle misure di sicurezza ;
b) da euro 300.000 ad euro 1.800.000 per la mancata comunicazione di ogni incidente significativo;
c) da euro 200.000 a euro 1.000.000 per la mancata fornitura delle informazioni necessarie per valutare la sicurezza.
Quali obblighi prevede la direttiva NIS2 per gestire la propria supply chain?
Si intende generalmente per supply chain, o “catena di approvvigionamento” o di “distribuzione”, la rete comprensiva di organizzazione di fornitori, risorse, attività e tecnologie coinvolte nella creazione e nella vendita di un prodotto o un servizio.
I report delle principali autorità ed osservatori in materia di sicurezza informatica, come CLUSIT ed ENISA, hanno registrato un significativo aumento degli attacchi contro la catena di approvvigionamento.
Pertanto, la NIS2 prevede l’obbligo specifico di adottare misure sicurezza della catena di approvvigionamento; le misure prevedono la necessità di consolidare e monitorare la sicurezza nell’ambito dei rapporti tra l’organizzazione e i suoi fornitori diretti o di servizi.
Conseguentemente, i soggetti che ricadono nel campo di applicazione della NIS2 sono tenuti a valutare i rischi per la sicurezza delle catene di approvvigionamento critiche effettuate a norma della direttiva europea.
Affrontare i rischi derivanti dalla catena di approvvigionamento di un soggetto e dalla sua relazione con i fornitori, ad esempio i fornitori di servizi di conservazione ed elaborazione dei dati o di servizi di sicurezza gestiti e gli editori di software, è un adempimento essenziale per essere compliant alla NIS2. prevalenza di incidenti in cui i soggetti sono stati vittime di attacchi informatici
È necessario dotarsi di un servizio di OSINT per essere compliant alla NIS2?
Un servizio di OSINT può sicuramente migliorare l’approccio multirischio richiesto per il rispetto della normativa arrivando a conformarsi a molti aspetti previsti dal comma 2 dell’art. 21 della NIS2.
In particolare, un servizio di OSINT contribuisce a rafforzare le politiche di analisi dei rischi e di sicurezza dei sistemi informatici, il monitoraggio della catena di approvvigionamento o supply chain, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.
Perché le linee guida ENISA suggeriscono l’adozione di un sistema di OSINT
Le Linee Guida ENISA del giugno 2023 “Good Practices for Supply Chain CYBERSECURITY” dedicano una specifica sezione alla gestione del rischio ICT/IOT della catena di approvvigionamento e rappresenta un importante canone interpretativo della portata degli obblighi previsti dalla NIS2.
In questo contesto, le Good Practices stabiliscono che l’organizzazione deve iniziare con la valutazione del rischio della catena di fornitura ICT/OT per comprendere la propria catena di fornitura attraverso l’identificazione dei fornitori e dei fornitori di servizi e la comprensione dei potenziali rischi della catena di fornitura per la propria organizzazione e per i clienti finali.
Pertanto, è necessario gestire la catena di fornitura con politiche, procedure e accordi che affrontano i rischi della catena di fornitura attraverso un’attività di monitoraggio delle prestazioni dei fornitori e dei fornitori di servizi.
In particolare, l’ENISA individua la necessità di adottare risorse informative interne ed esterne devono essere utilizzate per identificare i rischi e le minacce della catena di approvvigionamento (v. pag 21 del report ENISA).
Come può LensOne aiutarmi ad essere compliant alla NIS2 alle Good Practice ENISA?
Il servizio di OSINT di LensOne aiuta ad essere compliant agli importanti e gravosi obblighi di segnalazione di eventuali incidenti nonché agli obblighi di condividere informazioni sulla cybersicurezza che la NIS2 prevede.
Secondo l’art. 29 della NIS2, i soggetti tenuti al rispetto della NIS2 devono in grado di scambiarsi, informazioni sulla cibersicurezza relative a minacce informatiche, quasi incidenti, vulnerabilità, tecniche e procedure, indicatori di compromissione, tattiche avversarie, informazioni specifiche sugli attori delle minacce, allarmi di cibersicurezza e raccomandazioni concernenti la configurazione degli strumenti di cibersicurezza per individuare le minacce informatiche.
Il servizio LensOne aiuta a raccogliere, catalogare e strutturare queste informazioni, la cui condivisione mira a prevenire o rilevare gli incidenti, a riprendersi dagli stessi o ad attenuarne l’impatto ed aumenta il livello di cibersicurezza. In particolare, il servizio LensOne è utile a sensibilizzare anche la supply chain in merito alle minacce informatiche può limitare o inibire la capacità di diffusione delle minacce rilevate.
Il corretto impiego di LensOne sulla propria supplychain aumenta di capacità di difesa, la risoluzione e la divulgazione delle vulnerabilità, tecniche di rilevamento, contenimento e prevenzione delle minacce, strategie di attenuazione o fasi di risposta e recupero dell’organizzazione in uno dei settori più critici e vulnerabili previsti dalla direttiva sulla cybersicurezza.