Conformità alla NIS2

Conformità alla NIS2: gli strumenti Microsoft 365 per rispettare la normativa

Pubblicato il
Home » Eventi » Conformità alla NIS2: gli strumenti Microsoft 365 per rispettare la normativa

Dalla gestione accessi alla protezione dati: sfrutta al massimo le tue licenze

La NIS2 è la nuova direttiva europea sulla sicurezza informatica che richiede alle organizzazioni di stabilire misure specifiche per mitigare il rischio di attacchi informatici. I principi Zero Trust di M365 e l’approccio della piattaforma si allineano con gli obiettivi della normativa, facilitando il percorso di aziende e PA verso la conformità alla NIS2. Capire come sfruttare al massimo gli strumenti integrati nelle licenze Microsoft può portare enormi vantaggi. Ne parleremo al nostro prossimo workshop Venerdì 27 giugno, dalle 9.30 alle 13.00 in Microsoft House, Viale Pasubio 21. Milano. La partecipazione è gratuita, ma i posti sono limitati. E’ già possibile iscriversi sul sito dell’evento. In questo articolo, introdurremo i principali temi che saranno discussi all’incontro con gli esperti certificati di ELEVA, C2 Compliance e Microsoft.
  • Cos’è la NIS2: scadenze e requisiti
  • Principi Zero Trust per la NIS2: come applicarli con Microsoft 365
  • Sistemi di terze parti: come integrare software esterni nell’ecosistema aziendale.
  • Microsoft Entra Application Proxy: come pubblicare app locali per utenti remoti.
  • Soluzioni M365 per sicurezza preventiva.
  • Gestione efficace degli onboarding e degli offboarding in azienda.
  • Conclusioni

Cos’è la NIS2: scadenze e requisiti

Che cos’è la NIS2? Lo abbiamo chiesto a Mattia Caserini, Privacy Manager di C2Compliance, partner di ELEVA in campo di certificazioni e conformità in materia di sicurezza e privacy. “Si tratta di un aggiornamento normativo di enorme rilievo nell’ambito della cybersicurezza all’interno dell’Unione Europea. Si prefigge l’obbiettivo di rafforzare il livello comune di sicurezza delle reti e dei sistemi informativi di aziende e Pubbliche Amministrazioni del Paese, in armonia con gli altri Stati membri dell’Unione Europea. Ciò avviene estendendo il campo di applicazione a nuovi settori critici e introducendo obblighi più stringenti per gli operatori di servizi essenziali e i fornitori di servizi digitali”. La NIS2, come recepita dal nostro ordinamento, prevede l’adozione delle seguenti misure di sicurezza entro ottobre 2026: a) politiche di analisi dei rischi e di sicurezza delle reti aziendali; b) gestione e notifica di eventuali incidenti, c) continuità operativa: gestione di backup, disaster recovery, gestione delle crisi; d) sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti con i fornitori e) sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, comprese la gestione e la divulgazione delle vulnerabilità; f) politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica; g) buone pratiche di base in materia di sicurezza informatica (password complesse, aggiornamenti, etc.) e formazione; h) politiche e procedure relative all’uso della crittografia e cifratura; i) sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione di asset aziendali; j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.

Principi Zero Trust per la NIS2: come applicarli con Microsoft 365

Molti strumenti utili a rendersi compliant sono già presenti nelle licenze Microsoft che la maggior parte delle aziende utilizza ogni giorno (ma spesso non al massimo del loro potenziale). Alcuni dei principi Zero Trust per la NIS2 trovano una risposta in molte soluzioni M365:
  • Autenticazione continua: nessun accesso è implicitamente affidabile, neanche dall’interno. Entra ID permette di gestire identità e accessi, attraverso l’autenticazione a più fattori (MFA), rendendo più sicuro l’ambiente in cui i dati aziendali sono archiviati.
  • Minimo privilegio: ogni utente o dispositivo ha solo i permessi strettamente necessari. Con Intune è possibile gestire tutti i dispositivi che accedono alla rete aziendale, assegnando autorizzazioni e limiti. Inoltre, è possibile impostare i parametri di MDM e MAM desiderati, in modo che la responsabilità non sia solo in capo all’utente
  • Accesso condizionale basato su identità, geolocalizzazione, dispositivo e altri rischi. E’ possibile impostarlo su tutte le licenze M365 Business Premium per evitare intrusioni malevole nelle reti aziendali, ad esempio, da device non autorizzati o da Paesi da cui partono più spesso attacchi informatici.
  • Gestione e protezione delle informazioni: Purview Information Protection consente di definire classi di protezione e riservatezza di file e comunicazioni. Applicando le Sensitivity Labels, si mantengono confidenziali o interne all’azienda le informazioni importanti. Inoltre, è possibile controllare e verificare nel tempo l’accesso ai file con informazioni sensibili.

Sistemi di terze parti: come integrare software esterni nell’ecosistema aziendale.

Nell’ottica di garantire la sicurezza della catena di approvvigionamento, Entra ID consente di gestire le autenticazioni e sincronizzare le identità quando si accede ad app di terze parti. Questo assicura che solo utenti autorizzati possano accedere a sistemi esterni come Dropbox, Salesforce o altre app on-premise e condividere eventuali informazioni. Conformità alla NIS2
Tramite Entra, quindi, si gestiscono da un’unica dashboard le policy aziendali per più applicazioni. Questo include ad esempio le conditional access policy e facilita enormemente i processi di onboarding e offboarding di dipendenti e collaboratori.

Microsoft Entra Application Proxy: come pubblicare app locali per utenti remoti.

Application Proxy di Microsoft Entra consente l’accesso a web app locali anche a chi lavora da remoto, senza compromettere la sicurezza. Dipendenti e collaboratori possono così utilizzare applicazioni di gestione delle risorse umane, finanza o vendite in modo sicuro, da qualsiasi luogo, senza dover accedere direttamente ai server locali.  Sarà sufficiente utilizzare le credenziali registrate in Microsoft Entra ID, senza necessità di una VPN,  restando fedeli all’approccio Zero Trust. Non sarà necessario aprire firewall per consentire l’accesso dall’esterno, ma solo pre autenticare gli accessi con Entra ID. Nessuna porta aperta in ingresso significa evitare falle al sistema.

Soluzioni M365 per sicurezza preventiva

Le licenze M365 Business Premium integrano la protezione di Defender. L’antivirus protegge preventivamente anche da minacce sconosciute, applicando un approccio euristico. Questo metodo di rilevamento delle minacce informatiche si basa sull’esame del comportamento di un file o programma, cercando pattern sospetti o anomalie che indichino la presenza di un malware, anche se non è ancora conosciuto dalla banca dati del software antivirus. Defender si basa su una tecnologia EDR (Endpoint Detection and Response) che monitora in tempo reale gli endpoint (dispositivi, server, ecc.) per rilevare e rispondere a minacce informatiche, fornendo analisi avanzate e strumenti per contenere e gestire gli attacchi. In particolare, è in grado di mettere in atto azioni di isolamento o quarantena di device o file, per limitare l’area di attacco.

Gestione efficace degli onboarding e degli offboarding in azienda.

Il 24% dei dipendenti ha ancora accesso ai dati aziendali dopo aver lasciato l’azienda  (fonte: Ponemon Institute). Per questo gestire correttamente onboarding e offboarding del personale è sempre più imprescindibile alla luce della NIS2. Gli strumenti di gestione accessi e autorizzazioni di M365 semplificano il processo, evitando che diventi troppo macchinoso e soggetto a errore umano. In queste fasi la compliance è spesso a rischio e può essere necessario affidarsi anche a un team di esperti per eseguire, in ingresso, la giusta formazione tecnologica su piattaforme e strumenti, unita a una formazione sulle procedure e sulle policy dell’azienda. Durante l’offboarding, invece, ai fini della compliance sarà sufficiente bloccare con un click l’accesso ai dati aziendali alle identità associate ai dipendenti in uscita.

Conclusioni

La normativa NIS2 richiede alle aziende un cambio di approccio alla sicurezza che ha molti punti in comune con i principi Zero Trust e di Security by Design portati avanti da Microsoft. I requisiti richiesti per la compliance non si limitano all’uso di strumenti di collaborazione in cloud per una gestione sicura dei dati. Comprendono anche l’adozione di policy, buone pratiche di sicurezza, comunicazione di falle e vulnerabilità, che richiedono una sempre più vasta consapevolezza da parte di tutti. Per questo, la formazione continua avrà un ruolo sempre più centrale. CIO, IT Manager, DPO, Compliance Officer e chiunque debba guidare o supportare l’adeguamento alla NIS2 nella propria azienda può partecipare gratuitamente ai nostri incontri periodici, restando aggiornato sulla nostra pagina LinkedIn. I prossimi appuntamenti in agenda:
  • DO MORE WITH MICROSOFT. Come rendersi compliant alla NIS2 con gli strumenti Microsoft365.   Venerdì 27 giugno, dalle 9.30 alle 13.00 in Microsoft House, Viale Pasubio 21 (Iscriviti qui)
  • Security & Compliance on AWS  Mercoledì 9 luglio. Informazioni in arrivo. STAY TUNED!