Board Training NIS2
Livello 1

LEZIONE 1 – IL CONTESTO NORMATIVO
Il contesto normativo della cybersicurezza si è evoluto dal 2010 con tre fasi principali: frammentazione iniziale (pre-2012), coordinamento nazionale con la Legge 133/2012, e istituzione dell’Agenzia per la Cybersicurezza Nazionale (2021). La Direttiva NIS2, in vigore dal 2024, amplia il perimetro di applicazione e rafforza i requisiti di sicurezza per proteggere il sistema produttivo europeo, richiedendo strategie nazionali e team di risposta agli incidenti. 

LEZIONE 2 – LA DIRETTIVA NIS2 (I PARTE)
La Direttiva NIS2 rafforza la sicurezza informatica nell’UE ampliando il perimetro a soggetti essenziali e importanti in settori critici. Introduce requisiti rigorosi per la gestione dei rischi, la supervisione aziendale e la segnalazione degli incidenti, con misure tecniche, organizzative e operative. Gli organi aziendali sono responsabilizzati nella gestione della cybersecurity, sottolineando un approccio organizzativo e multi-rischio per proteggere infrastrutture e servizi essenziali.

LEZIONE 4 – RECEPIMENTO DELLA NIS2
Il Decreto Legislativo 138/2024 recepisce la Direttiva NIS2 introducendo criteri aggiuntivi per l’inclusione nel perimetro e specifiche nazionali per la gestione dei rischi e la divulgazione delle vulnerabilità. Gli organi direttivi e amministrativi sono responsabilizzati nella gestione della cybersecurity e obbligati a formazione specifica. Sanzioni e sospensioni sono previste per mancato adempimento, con multe fino allo 0,1% del fatturato globale.

LEZIONE 5 –IL MODELLO ORGANIZZATIVO NIS2
La NIS2 introduce un approccio multirischio alla gestione della cybersecurity, responsabilizzando gli organi direttivi e assegnando ruoli specifici per garantire conformità e sicurezza. Le aziende devono istituire una funzione di NIS2 Compliance, un Comitato NIS2 per monitorare le attività, e assegnare responsabilità ai Direttori di Linea di Business (LOB) e ai Risk Owner.

LEZIONE 2 – L’ANALISI DEL RISCHIO CYBER
L’analisi del rischio è fondamentale per comprendere minacce, probabilità e impatti, e definire le contromisure. Seguendo standard come ISO o NIST, si articola in sei fasi: identificare il contesto e i rischi, analizzarli, definire priorità, predisporre risposte e monitorare continuamente. L’output principale è il Risk Register, che mappa i rischi cyber e non, essenziale per strategie di sicurezza multi-rischio come richiesto dalla NIS2.

LEZIONE 3 – LA MISURA DEL RISCHIO
La valutazione del rischio consiste nell’analizzare probabilità e impatto di un evento avverso per prendere decisioni consapevoli. Le analisi possono essere qualitative, più semplici ma soggettive, o quantitative, più complesse ma precise e utili per giustificare investimenti in mitigazione. Misurare il rischio aiuta a scegliere le migliori strategie di trattamento, riducendo l’incertezza e superando le distorsioni legate alla percezione personale.

LEZIONE 5 – IL DANNO
L’impatto rappresenta il danno causato da un evento avverso, classificabile in diretto, da responsabilità civile, indiretto e consequenziale. Nel rischio cyber, i danni si distinguono in propri (interruzione attività, ripristino sistemi, gestione dell’incidente) e verso terzi (contenziosi, violazioni di dati). Mentre i danni materiali sono più facilmente stimabili, quelli immateriali richiedono valutazioni complesse.

LEZIONE 1 – LA DINAMICA DI UN ATTACCO
La dinamica del rischio cyber segue un modello in cui una minaccia sfrutta un vettore e una tecnica per colpire una vulnerabilità, generando un danno. Comprendere minacce, vettori e tecniche è cruciale: le minacce spaziano da singoli a organizzazioni complesse; i vettori includono email, app malevole o botnet; le tecniche variano dal phishing al malware. La mail è il vettore più comune, mentre le botnet, composte da dispositivi compromessi, sono usate per attacchi come il DDoS. 

LEZIONE 3 – LE VULNERABILITA’
Le vulnerabilità rappresentano un rischio solo se non sono mitigate da controlli tecnici o procedurali. Il loro ciclo di vita attraversa quattro fasi: scoperta, divulgazione, individuazione della contromisura e applicazione, con le prime due particolarmente critiche. La gestione efficace delle vulnerabilità richiede un processo industrializzato, basato su aggiornamenti costanti, inventari completi degli asset e una strategia basata sulle priorità.

LEZIONE 4 – GLI INCIDENTI DI SICUREZZA
La gestione degli incidenti di sicurezza si basa sull’analisi dei log prodotti dalle infrastrutture digitali, utilizzati per identificare e prevenire situazioni critiche. Il Security Operation Center (SOC) processa allarmi attraverso un flusso operativo articolato in tre fasi: analisi preliminare, analisi dettagliata e definizione delle azioni di contenimento e rimedio. L’uso dell’Intelligenza Artificiale riduce i falsi positivi, migliorando l’efficienza. 

LEZIONE 2 – ATTACCO RANSOMWARE CON RICATTO
Un’azienda leader nel settore energetico subisce un attacco ransomware che blocca i sistemi IT e paralizza le operazioni. I criminali minacciano di pubblicare dati sensibili del Board se il riscatto non viene pagato.

LEZIONE 3 – ATTACCO ALLA SUPPLY CHAIN
Un fornitore di servizi cloud utilizzato dall’azienda subisce un attacco. Gli hacker usano le sue credenziali per accedere ai dati riservati del Board e di clienti strategici.