La sicurezza di rete e dei sistemi informativi non è più un tema tecnico riservato ai reparti IT. Per molte PMI della filiera rappresenta oggi un criterio di selezione: le aziende soggette alla Direttiva NIS2 scelgono partner che possano dimostrare processi di sicurezza solidi e verificabili.
In questo articolo, l’ottavo della nostra rubrica sulle Linee Guida ENISA, esploriamo come la sicurezza debba essere integrata in ogni fase del ciclo di vita tecnologico: dall’acquisizione al mantenimento dei sistemi informatici. Essere in grado di documentare queste procedure significa non solo rispettare gli standard di sicurezza attesi, ma anche garantire continuità e credibilità nella supply chain.
1. Acquisizione sicura: integrare la sicurezza nel procurement ICT
Ogni fornitura o servizio IT può introdurre vulnerabilità. Per questo le Linee guida ENISA raccomandano di trattare la fase di acquisizione come parte del processo di gestione del rischio.
Definizione dei requisiti basata sul rischio
Prima di acquistare o sviluppare soluzioni IT, le PMI dovrebbero definire requisiti di sicurezza coerenti con la propria analisi dei rischi NIS2.
In questo modo è possibile verificare che ogni nuovo sistema contribuisca a mitigare i rischi individuati e non a introdurne di nuovi.
Clausole contrattuali e SLA
I requisiti di sicurezza devono essere formalizzati nei contratti e negli SLA (Service Level Agreement), cioè gli accordi sui livelli di servizio.
Questi documenti devono prevedere l’obbligo di fornire aggiornamenti di sicurezza per tutta la durata del prodotto, la gestione dell’obsolescenza e l’indicazione della fine del supporto tecnico (EoL – End of Life).
Baseline configuration e hardening
È necessario definire e mantenere una baseline configuration, cioè la configurazione minima approvata come sicura, da applicare in modo coerente a hardware, software e reti.
Il processo di hardening consiste nel ridurre al minimo le funzioni non necessarie e nell’applicare impostazioni di sicurezza standard per prevenire accessi non autorizzati.
Segmentazione e difesa perimetrale
Le reti aziendali devono essere segmentate, separando quelle amministrative e di sviluppo da quelle operative o di produzione.
Firewall, sistemi VPN (Virtual Private Network) e strumenti di monitoraggio devono essere costantemente aggiornati e configurati secondo policy documentate. Queste misure riducono l’impatto potenziale di un incidente informatico e migliorano la resilienza complessiva dell’infrastruttura.
2. Sviluppo sicuro e gestione delle vulnerabilità
Le aziende che sviluppano internamente software o personalizzano soluzioni per i clienti devono dimostrare di adottare il principio di security by design, cioè la progettazione della sicurezza fin dalle fasi iniziali.
Secure Software Development Life Cycle (SSDLC)
Il SSDLC è un modello che integra controlli di sicurezza in tutte le fasi di sviluppo software: analisi dei requisiti, progettazione, implementazione, test e manutenzione.
Le Linee guida ENISA e gli standard ISO/IEC 27034 raccomandano di prevedere verifiche di sicurezza ricorrenti, come analisi del codice (SAST), test dinamici (DAST) o penetration test indipendenti.
Gestione dei dati di test
I dati utilizzati per i test devono essere selezionati, protetti e, se derivano da ambienti reali, sanificati o anonimizzati per evitare la diffusione di informazioni personali. Questa pratica, richiesta anche dal GDPR, consente di testare le applicazioni senza compromettere la riservatezza dei dati reali.
Coordinated Vulnerability Disclosure (CVD)
Ogni azienda dovrebbe adottare una politica di CVD, cioè di divulgazione coordinata delle vulnerabilità. Questo processo stabilisce come gestire e comunicare le falle di sicurezza in modo strutturato, in collaborazione con l’ACN (Agenzia per la Cybersicurezza Nazionale) e in coerenza con le politiche nazionali di segnalazione degli incidenti.
Esempio pratico: introdurre revisioni del codice obbligatorie prima del rilascio o pianificare test di sicurezza trimestrali sulle applicazioni web.
3. Manutenzione e controllo continuo
La fase di manutenzione è il punto in cui la sicurezza viene messa alla prova quotidianamente. Le PMI che operano nella filiera NIS2 dovrebbero dimostrare la capacità di mantenere un processo costante di monitoraggio e aggiornamento.
Gestione delle vulnerabilità (Vulnerability Management)
È necessario prevedere un processo continuo di identificazione e risoluzione delle vulnerabilità, con scansioni periodiche, priorità definite e registrazione delle azioni correttive.
Patch management
Ogni aggiornamento o correzione deve essere tracciato attraverso un processo di patch management documentato, che stabilisca tempi, responsabilità e modalità di applicazione delle patch.
Configurazioni sicure e controllo delle modifiche
Le configurazioni devono essere verificate periodicamente. Eventuali variazioni devono seguire procedure di change management, cioè processi formalizzati per gestire e approvare modifiche ai sistemi senza introdurre nuovi rischi.
Una gestione proattiva di queste attività non solo riduce la probabilità di incidenti, ma migliora la percezione di affidabilità da parte dei clienti NIS2.
4. Evidenze e audit della supply chain
Le aziende soggette alla Direttiva NIS2 richiedono ai propri fornitori prove documentali della maturità di sicurezza.
Le principali evidenze riguardano:
- Policy e procedure documentate, relative a procurement, sviluppo e gestione del ciclo di vita software.
- Registri delle vulnerabilità e delle patch, che attestano la frequenza delle verifiche e la tracciabilità delle attività.
- Mappe di rete e segmentazione, aggiornate e coerenti con le policy aziendali di sicurezza.
- Verbali di audit o revisioni interne, che dimostrano il riesame periodico delle misure adottate.
Essere in grado di fornire queste evidenze significa presentarsi come un fornitore low-risk, pronto a superare gli audit richiesti dai clienti NIS2.
5. Test di sicurezza: la verifica periodica della resilienza
Le Linee guida ENISA indicano che la sicurezza di rete e dei sistemi informativi deve essere validata con test regolari, proporzionati ai rischi e alla complessità dell’infrastruttura. Nello specifico, le linee guida ENISA specificano che vada stabilita una politica di test di sicurezza che includa:
- Valutazioni di vulnerabilità e penetration test eseguiti con metodologie riconosciute (ad esempio, OWASP, OSSTMM, NIST SP 800-53).
- Frequenza dei test definita in base al rischio o in seguito a modifiche significative nei sistemi.
- Documentazione dei risultati, con classificazione delle criticità e azioni di mitigazione pianificate.
- Audit interni o esterni periodici per verificare l’efficacia delle misure di sicurezza implementate.
Registrare e aggiornare i risultati dei test permette di mantenere un quadro costante dello stato di sicurezza, elemento che i clienti NIS2 considerano essenziale negli audit di filiera.
Con NIS2Lab la tua azienda resta nella filiera delle imprese NIS2
Integrare la sicurezza di rete e dei sistemi informativi non è solo un requisito tecnico, ma un segno di affidabilità per i tuoi clienti.
NIS2Lab supporta le PMI della filiera nel raggiungere gli standard di sicurezza richiesti dalle Linee guida ENISA: dall’analisi del rischio alla definizione delle policy, fino alla documentazione e agli audit di conformità.
Avvia con noi il percorso di adeguamento e qualifica la tua azienda come partner sicuro e riconosciuto nella supply chain NIS2.
