In che modo un password manager favorisce la conformità alla NIS2

La NIS2 è un ampliamento della precedente direttiva dell'UE sulla cybersicurezza, la NIS, adottata nel 2016 come insieme di requisiti per proteggere le reti e i sistemi informativi in tutta l'UE. La NIS2 è stata introdotta nel 2020 ed è entrata in vigore il 16 gennaio 2023.

La direttiva impone alle aziende identificate come operatori di servizi essenziali di implementare misure adeguate per rafforzare la cybersicurezza e rispettare gli obblighi di legge. La NIS2 comprende diverse organizzazioni che non rientravano nella direttiva originale, ampliando i settori interessati da 7 a 15 per proteggere un numero ancora maggiore di aree vitali. L'elenco delle entità incluse nella NIS2 ora comprende:

• Energia

• Sanità

• Trasporti

• Finanza

• Approvvigionamento idrico

• Infrastruttura digitale

• Pubblica amministrazione

• Fornitori digitali

• Servizi postali

• Gestione dei rifiuti

• Spazio

• Prodotti alimentari

• Manifatturiero

• Sostanze chimiche

• Ricerca

Inoltre, la NIS2 rafforza i requisiti per l'applicazione della cybersicurezza, introduce regole più rigorose per la segnalazione degli incidenti e prevede sanzioni più severe in caso di non conformità. Le autorità competenti svolgono un ruolo cruciale nel supervisionare la conformità e facilitare la segnalazione degli incidenti nei settori vitali dell'economia e della società. Secondo il sito ufficiale, un tipico processo di conformità alla NIS2 richiede circa 12 mesi e include valutazioni di sicurezza, audit, consulenza e implementazione di strumenti.

Con l'applicazione che ora accelera in tutta l'UE, le organizzazioni sono sottoposte a una pressione concreta per dimostrare il proprio livello di cybersicurezza. L'articolo 21 ha l'impatto maggiore, poiché riguarda la gestione sicura delle credenziali, una disposizione che gli auditor stanno esaminando con attenzione.

Di tutti i 45 articoli della Direttiva NIS2, l'articolo 21 è quello su cui la maggior parte delle organizzazioni dedicherà più tempo. Stabilisce le misure minime di gestione dei rischi di cybersicurezza che tutte le entità essenziali e importanti devono implementare ed essere in grado di dimostrare nella pratica.

La direttiva utilizza un linguaggio intenzionale: le misure devono essere "adeguate e proporzionate" in base alle dimensioni dell'entità, all'esposizione al rischio e alla probabilità e gravità degli incidenti. È un approccio basato sui risultati, non prescrittivo.

L'articolo 21, paragrafo 2, elenca dieci misure minime che ogni organizzazione rientrante nell'ambito di applicazione deve implementare:

• (a) Analisi dei rischi e politiche di sicurezza dei sistemi informativi

• (b) Gestione degli incidenti

• (c) Continuità operativa: gestione dei backup e disaster recovery

• (d) Sicurezza della supply chain

• (e) Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione dei sistemi di rete e informativi

• (f) Politiche per valutare l'efficacia delle misure di cybersicurezza

• (g) Pratiche di igiene informatica di base e formazione sulla cybersicurezza

• (h) Politiche di crittografia e cifratura

• (i) Sicurezza delle risorse umane, politiche di controllo degli accessi e gestione degli asset

• (j) Soluzioni di autenticazione a più fattori o di autenticazione continua

L'articolo 21 è basato sui risultati, il che significa che gli auditor non si limitano a esaminare i documenti di policy: verificano se i controlli sono operativi e supportati da evidenze. Tre lacune vengono segnalate con maggiore frequenza:

• MFA assente o applicata in modo incoerente

  Avere una policy di autenticazione multifattore (MFA) non equivale ad applicare la MFA. Gli auditor cercano un'applicazione a livello di organizzazione, non l'adozione da parte dei singoli utenti.

• Account con privilegi eccessivi

  Il controllo degli accessi ai sensi dell'articolo 21, paragrafo 2, lettera i), prevede che i principi del privilegio minimo siano applicati e documentati.

• Credenziali di servizio non gestite

  Chiavi API, password degli account di servizio e credenziali condivise che risiedono al di fuori di qualsiasi sistema gestito sono una constatazione ricorrente negli audit.

Il filo conduttore: gli auditor verificano se la sicurezza viene gestita come un processo ripetibile e dimostrabile.

Il problema principale della NIS originale era che era troppo ampia, troppo vaga e priva di capacità di applicazione efficaci.

Ora le sanzioni per la non conformità sono significative: i soggetti essenziali rischiano multe fino a 10 milioni di euro o al 2% del fatturato annuo mondiale; i soggetti importanti fino a 7 milioni di euro o all'1,4%.

Nei primi giorni della pandemia di COVID, molte aziende in tutta l'UE sono passate al lavoro da remoto ed è diventato rapidamente evidente che la NIS originale era inefficace rispetto agli obiettivi dichiarati.

Gli auditor che esaminano la conformità all'articolo 21 non leggono i documenti sulle policy in modo isolato. Cercano prove che i controlli siano applicati, coerenti e documentati in tutta l'organizzazione. Le tre lacune segnalate più spesso: applicazione incoerente dell'MFA, account con privilegi eccessivi e credenziali non gestite, sono anche quelle che un gestore di password è nella posizione migliore per colmare.

Bitwarden consente alle organizzazioni di richiedere l'accesso in due passaggi in tutta l'organizzazione tramite controlli delle policy aziendali. Bitwarden si integra inoltre con Duo per l'applicazione e il monitoraggio centralizzati dell'MFA. Inoltre, i report sullo stato di salute del vault includono un report 2FA inattiva che evidenzia eventuali credenziali archiviate senza un seed TOTP incluso.

I controlli degli accessi basati sui ruoli, le autorizzazioni a livello di raccolta e le policy per i gruppi di utenti consentono agli amministratori di applicare i principi del privilegio minimo a ogni credenziale dell'organizzazione. I proprietari dell'organizzazione possono anche modificare le impostazioni delle raccolte per limitare l'accesso degli amministratori alle credenziali condivise, garantendo che nemmeno i ruoli con privilegi elevati abbiano visibilità indiscriminata sulle credenziali sensibili.

Le password degli account di servizio e le credenziali condivise presenti in fogli di calcolo, thread email o vault personali sono un punto cieco che gli auditor cercano in modo specifico. Bitwarden le porta in un ambiente governato e verificabile, in cui l'accesso è controllato, registrato e revocabile. Bitwarden Secrets Manager porta inoltre un controllo di sicurezza centralizzato alle chiavi API.

I log degli eventi della console di amministrazione Bitwarden registrano chi ha effettuato l'accesso a quali credenziali, quando e da dove. Le integrazioni con strumenti SIEM o l'uso di chiavi API consentono di acquisire ed elaborare questi eventi insieme agli altri monitoraggi degli eventi nell'infrastruttura aziendale.

Bitwarden crittografa i dati lato client prima che lascino il dispositivo dell'utente. L'architettura zero-knowledge e il codice open source consentono di verificare in modo indipendente l'implementazione della crittografia. La crittografia è documentata chiaramente nel white paper sulla sicurezza di Bitwarden.

Per le organizzazioni con requisiti rigorosi di residenza dei dati, Bitwarden offre un servizio cloud UE dedicato e un'opzione di distribuzione self-hosted in cui i dati rimangono interamente all'interno della propria infrastruttura.

Le organizzazioni possono condividere credenziali con i fornitori tramite le funzionalità di condivisione sicura di Bitwarden Send oppure usando l'RBAC e inserendo temporaneamente un collaboratore esterno. Quando il rapporto con un fornitore termina, l'accesso viene revocato tramite la piattaforma.

Un gestore di password supporta direttamente una cultura della sicurezza rendendo le password robuste e univoche la scelta più semplice per ogni utente. Inoltre, gli utenti Bitwarden Enterprise ricevono anche un account Families gratuito per poter mettere in pratica buone abitudini di sicurezza anche a casa.

L'applicazione della NIS2 sta accelerando in tutta l'UE e l'articolo 21 stabilisce un livello chiaro: i controlli devono essere implementati, applicati e dimostrabili. Le organizzazioni che resisteranno al controllo degli audit sono quelle in grado di mostrare alle autorità di regolamentazione una postura di sicurezza documentata e operativa, credenziale per credenziale.

Bitwarden offre alle organizzazioni entrambi gli aspetti di questo requisito. I controlli delle policy aziendali applicano MFA, autorizzazioni di accesso e principi del privilegio minimo per ogni utente. I log degli eventi della console di amministrazione e le integrazioni SIEM creano l'audit trail che dimostra il funzionamento di questi controlli. E, in quanto piattaforma open source con opzioni di cloud UE e distribuzione self-hosted, Bitwarden supporta i requisiti di sovranità dei dati delle organizzazioni dell'UE.

La conformità non deve necessariamente essere un progetto infrastrutturale lungo e costoso. Un gestore di password è uno dei modi più rapidi per colmare le lacune nelle credenziali che gli auditor verificano e per creare il registro delle evidenze che chiederanno di vedere.

Inizia oggi con una prova gratuita di Bitwarden Business.

Che cos'è la NIS2?

La NIS2 pone l'accento sui processi di gestione del rischio di cybersicurezza, pensati per imporre alle aziende l'adozione di misure volte a prevenire o mitigare le minacce informatiche. Copre rischi e misure legati all'IA, inclusi test di cybersicurezza, documentazione e strategie di mitigazione.

Qual è la differenza tra NIST e NIS2?

A differenza della NIS2, il NIST Cybersecurity Framework non contiene un elenco operativo. L'uso di un framework di resilienza alla cybersicurezza specifico del NIST può aiutare le organizzazioni a prepararsi per conformarsi efficacemente alla direttiva sulla sicurezza delle informazioni.

Che cos'è l'atto di esecuzione della NIS2?

La direttiva NIS2 ora include soggetti pubblici e privati di medie e grandi dimensioni in un numero maggiore di settori critici per la cyber resilienza.

Che cosa significa NIS2 per le reti e i sistemi informativi?

La NIS2, in quanto normativa a livello UE, pone l'accento sui processi di gestione del rischio di cybersicurezza progettati per affrontare la sfida di un panorama delle minacce informatiche in continua evoluzione. Questo approccio richiede alle aziende di adottare misure per prevenire o mitigare le minacce informatiche. Copre rischi e misure legati all'IA, inclusi test di cybersicurezza, documentazione e strategie di mitigazione.

La NIS2 include molte più organizzazioni che non rientravano nella direttiva NIS originale. Tra queste figurano gli operatori di servizi essenziali in settori critici come sanità, energia e trasporti. L'Unione europea mira ad armonizzare le misure e le pratiche di cybersicurezza in tutti i suoi Stati membri.

Inoltre distingue tra soggetti essenziali e importanti nella definizione dei requisiti.