Sei motivi per adeguarsi alla Direttiva NIS2 con SUSE

Nei prossimi mesi, tantissime aziende e Pubbliche Amministrazioni dell’Unione Europea saranno tenute ad adeguarsi alla nuova direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS2). Noi di SUSE possiamo aiutarti a raggiungere per tempo la piena conformità a tale normativa. Con le nostre soluzioni puoi aumentare la sicurezza e l’affidabilità dei tuoi sistemi informatici, ottenere una maggiore visibilità e raggiungere più rapidamente livelli di conformità adeguati.

L’adozione della Direttiva NIS2 sta procedendo e, anche se non è certo che la nuova normativa entrerà in vigore in tutti i paesi dell’UE il 17 ottobre 2024 come previsto, i manager aziendali e IT dovrebbero prendere da subito i necessari provvedimenti tecnici e organizzativi. La NIS2 non solo innalza i requisiti per la sicurezza delle reti e dei sistemi informativi, ma aumenta significativamente il rischio di sanzioni in caso di violazioni. Inoltre, i dirigenti aziendali sono ora ritenuti personalmente responsabili dell’attuazione delle misure prescritte. Queste disposizioni hanno un potenziale dirompente ancora più elevato rispetto al GDPR.

È opportuno che le organizzazioni interessate dalla normativa e i loro dirigenti prendano seriamente i requisiti imposti dalla direttiva NIS2 e implementino strategie e soluzioni efficaci per proteggere la loro infrastruttura IT, al fine di evitare responsabilità esecutive.

Come SUSE aiuta a prepararsi alla Direttiva NIS2

SUSE sta aiutando aziende private e Pubblica Amministrazione a soddisfare i requisiti della direttiva NIS2 in diversi modi. In particolare, le nostre soluzioni si sono dimostrate in grado di rafforzare la sicurezza delle infrastrutture IT in sei aree, rendendo più facile per le organizzazioni adeguarsi ai nuovi standard normativi. 

1. Sicurezza della software supply chain: NIS2 richiede a tutte le organizzazioni interessate di valutare costantemente i potenziali rischi informatici nella loro supply chain e adottare misure di sicurezza appropriate. Tuttavia, è quasi impossibile per gli utilizzatori del software eseguire una valutazione indipendente dell’intera supply chain del software. Il tempo richiesto sarebbe enorme e ci sarebbe sempre il rischio di essere ritenuti responsabili per una vulnerabilità di sicurezza trascurata.
   SUSE semplifica questo processo per tutte le soluzioni basate su SUSE Linux Enterprise Server (SLES): il sistema operativo è stato certificato Common Criteria EAL 4+ dall’Ufficio Federale Tedesco per la Sicurezza Informatica (BSI). Questo rende SUSE l’unico fornitore di un sistema operativo general purpose ad aver superato con successo una valutazione completa del suo prodotto, dei processi di sviluppo e degli aggiornamenti di sicurezza. Con questa certificazione ufficialmente riconosciuta, le aziende possono evitare di dover condurre la propria valutazione e possono dimostrare in qualsiasi momento che la sicurezza della supply chain del loro sistema operativo è stata verificata da un organismo indipendente.
   Rancher Prime, la piattaforma enterprise di gestione dei container di SUSE, aiuta anche a proteggere la supply chain del software. La soluzione è stata recentemente certificata secondo il Supply-chain Levels for Software Artifacts (SLSA). Questo framework, sviluppato da Google, è progettato per garantire l’integrità del software mentre viene compilato in binario eseguibile. Misure quali un processo di build automatizzato e la documentazione completa della Software Bill of Material (SBOM) proteggono il software dalle manomissioni e forniscono una tracciabilità sicura del codice sorgente.
2. Crittografia: Un altro aspetto importante di NIS2 è la crittografia. L’articolo 21 della direttiva impone a tutte le organizzazioni interessate di utilizzare tecnologie di crittografia aggiornate per garantire la sicurezza e l’integrità dei dati sensibili. SUSE aiuta le organizzazioni nell’implementazione seguendo i Federal Information Processing Standards (FIPS) 140-2 e 140-3 del governo degli Stati Uniti, che definiscono i requisiti di sicurezza che i moduli crittografici devono soddisfare all’interno delle agenzie governative statunitensi. SLES 15 SP2 è validato FIPS 140-2, fornendo una base sicura per le comunicazioni criptate e lo storage dei dati. I moduli crittografici possono essere utilizzati anche in SP3. I moduli crittografici in SLES 15 SP4 sono attualmente in fase di certificazione secondo lo standard successivo FIPS 140-3. Una volta che il National Institute of Standards and Technology avrà completato la sua revisione, moduli come il Kernel Crypto API, GnuTLS, libgcrypt, mozilla-nss e OpenSSL saranno certificati secondo questo standard.
3. Alta disponibilità: Per essere conformi a NIS2 e DORA (Digital Operational Resilience Act), molte organizzazioni devono migliorare la resilienza della propria infrastruttura IT e adottare misure aggiuntive per garantire la business continuity. SUSE offre soluzioni che massimizzano la disponibilità del sistema e riducono al minimo i tempi di inattività. Una di queste soluzioni è SUSE Linux Enterprise High Availability Extension. Con funzionalità come il geo-clustering, la replica dei dati multi-sito e il failover basato su regole, le organizzazioni possono così garantire che le loro applicazioni IT più critiche siano sempre disponibili e che possano recuperare rapidamente in caso di eventi imprevisti.
4. Sicurezza edge computing e IoT: la direttiva NIS2 interessa tutti gli operatori di infrastrutture critiche in settori come energia, manifatturiero, telecomunicazioni, trasporti e logistica. Oggi, queste organizzazioni fanno spesso uso di dispositivi edge e IoT per controllare la propria infrastruttura. Anche questi dispositivi e le applicazioni eseguite in ambienti edge devono essere protetti da potenziali minacce informatiche e SUSE Edge 3.0 può essere d’aiuto. Lo stack tecnologico basato su Rancher, NeuVector e SLE Micro, non solo semplifica la gestione dei dispositivi distribuiti, ma fornisce anche una sicurezza completa per le infrastrutture edge di tutte le dimensioni. Con NeuVector, ad esempio, le policy di sicurezza possono essere applicate in modo pervasivo e gli attacchi agli ambienti edge possono essere bloccati in tempo reale. SLE Micro migliora la sicurezza dei dispositivi edge con il framework di sicurezza preinstallato SELinux e un file system immutabile. Inoltre, il sistema operativo offre la possibilità di abilitare una modalità FIPS per garantire la stretta conformità con i moduli crittografici validati NIST e l’applicazione delle best practice di hardening del sistema.
5. Gestione delle vulnerabilità e del rischio per i container e Kubernetes: Molte organizzazioni oggi stanno modernizzando il proprio ambiente applicativo e si affidano sempre più ad applicazioni cloud-native sviluppate in modalità agile e distribuite in modo altamente dinamico. Questo aspetto deve essere preso in considerazione nella pianificazione di una strategia NIS2. SUSE NeuVector fornisce gestione end-to-end delle vulnerabilità, sicurezza automatizzata della pipeline CI/CD, sicurezza runtime completa e protezione contro le minacce zero-day e le minacce interne nell’ambiente Kubernetes. Allo stesso tempo, la soluzione di sicurezza per container esegue verifiche e controlli degli accessi durante lo sviluppo, la fase di test e il deployment delle nuove applicazioni. SUSE NeuVector esegue la scansione dei container, degli host e delle piattaforme di orchestrazione in runtime e verifica la sicurezza di host e container. Tutte queste funzionalità aiutano le organizzazioni a conformarsi alle misure di gestione dei rischi di sicurezza informatica richieste dalla direttiva NIS2 per le moderne applicazioni cloud-native.
6. Segnalazione degli incidenti migliorata: La normativa NIS2 prevede anche requisiti di segnalazione degli incidenti di sicurezza più stringenti. Le organizzazioni interessate devono segnalare gli incidenti alle agenzie governative competenti entro 24 ore, entro 72 ore devono presentare un rapporto completo. SUSE rende più semplice soddisfare questo requisito: prodotti come SUSE Manager, Rancher e NeuVector offrono capacità di monitoraggio e reporting complete. Questi strumenti possono aiutarti a monitorare lo stato della tua infrastruttura IT in tempo reale, rilevare anomalie, identificare rapidamente gli incidenti di sicurezza e automatizzare i processi coinvolti. Possono anche supportarti nella raccolta delle informazioni necessarie per indagare su un incidente e segnalarlo alle autorità.