Autenticazione Sicura NIS2: proteggi la tua azienda con MFA e gestione account privilegiati. Scopri i 5 requisiti ENISA per blindare la rete e superare l’audit.
Benvenuti al quattordicesimo appuntamento della nostra guida tecnica ENISA. Nel precedente incontro abbiamo definito le “regole del gioco” (Policy e Diritti). Oggi passiamo alla pratica: come garantire un’autenticazione sicura secondo la NIS2 per proteggere le porte d’ingresso della tua azienda.
Le linee guida ENISA sono chiare: la maggior parte degli attacchi ransomware ha successo perché le credenziali sono deboli o gli account amministrativi non sono protetti.
Ecco come implementare le misure tecniche richieste per blindare la tua rete.
1. Gestione degli account privilegiati: I “super-utenti”
Gli account amministrativi (o privilegiati) sono le “chiavi del regno”. Se un attaccante compromette uno di questi profili, ha il controllo totale. La Direttiva NIS2 impone regole ferree per questi utenti:
- identità separate: un amministratore di sistema non deve usare lo stesso account per gestire il server e per leggere la posta elettronica o navigare su internet. Deve avere due identità distinte: una “standard” per le attività quotidiane e una “amministrativa” (es. admin_nome) da usare solo per le configurazioni;
- MFA obbligatoria: l’accesso agli account privilegiati deve sempre essere protetto da Autenticazione a Più Fattori (MFA);
- accesso temporaneo: dove possibile, i privilegi di amministrazione non dovrebbero essere permanenti, ma concessi solo per il tempo necessario all’intervento.
2. Sistemi di amministrazione: blindare la console di comando
Non basta proteggere l’utente, bisogna proteggere anche gli strumenti che usa. I sistemi di amministrazione (le console da cui si governa la rete IT) devono essere:
- isolati: separati logicamente (tramite segmentazione di rete) dal resto del software applicativo;
- dedicati: utilizzati esclusivamente per scopi di amministrazione e non per attività generiche;
- protetti: l’accesso a questi sistemi deve avvenire tramite canali cifrati e autenticazione forte.
3. Identificazione: nessun account condiviso
L’Autenticazione sicura richiesta dalla Direttiva NIS2 prevede che ogni azione sulla rete sia riconducibile a una persona fisica specifica.
- Identità uniche: ogni utente deve avere un ID univoco. L’uso di account generici o condivisi (es. amministrazione@, user1) è severamente vietato o deve essere limitato a casi eccezionali, strettamente documentati e giustificati.
- Ciclo di vita: l’ente deve gestire l’intero ciclo di vita dell’identità digitale: creazione, modifica e disattivazione immediata (senza indugio) quando non è più necessaria o valida.
4. Autenticazione e password: le regole d’oro
Come gestiamo le password? La norma richiede procedure solide:
- igiene delle password: è necessario imporre il cambio password alla prima connessione e vietare password comuni;
- blocco automatico: dopo un numero predefinito di tentativi falliti, l’account deve bloccarsi per prevenire attacchi di “forza bruta”.
- sessioni inattive: le sessioni devono terminare automaticamente (logout) dopo un periodo di inattività (es. pausa pranzo).
5. MFA: il requisito non negoziabile
Il punto più critico per l’audit è l’Autenticazione a Più Fattori (MFA).
L’ente deve garantire che l’accesso alla rete e ai sistemi informativi sia protetto da MFA o meccanismi di autenticazione continua, specialmente per:
- accessi da remoto (VPN, Cloud);
- accesso a dati sensibili o critici;
- account privilegiati.
L’MFA non è più un “optional”, ma uno standard di sicurezza adeguato al rischio attuale. Utilizzare solo “nome utente e password” è oggi considerato una vulnerabilità critica.
L’importanza di un Partner esperto
Implementare l’Autenticazione Sicura richiesta dalla NIS2 significa gestire firewall, implementare sistemi MFA e formare il personale a non condividere le credenziali.
Non è solo burocrazia: è l’unico modo per evitare che un singolo click sbagliato comprometta l’intera azienda.
NIS2Lab ti supporta nell’implementazione delle tecnologie necessarie per la conformità.
