Conformità alla Direttiva NIS2 con ITIL: Intervista a Kaïs Albassir

La NIS2 (Network and Information Security Directive 2) è una direttiva dell’Unione Europea che mira a migliorare le misure di sicurezza informatica delle organizzazioni attive in tutta l’UE, introducendo requisiti di sicurezza informatica più severi</b per una più ampia gamma di organizzazioni, in particolare quelle che operano nel settore delle infrastrutture critiche e dei servizi essenziali.

Nel nostro blog Kaïs Albassir, trainer e consulente ITIL, spiega come ITIL può aiutare la tua organizzazione ad adattarsi al GDPR, alla NIS2 e alle imminenti modifiche legislative, garantendo efficienza, sicurezza e conformità.

Nella nostra intervista con Kaïs esploriamo come ITIL può supportare l’implementazione di NIS2 nella tua organizzazione.

Di cosa ti occupi e come sei venuto a conoscenza di NIS2? Che cos’è NIS2 e perché è importante per i professionisti IT?

Negli ultimi 15 anni ho supportato diverse organizzazioni nell’implementazione delle best practice ITIL. Sono entrato in contatto con la direttiva NIS2 attraverso concetti quali Security Incidents (incidenti di sicurezza), CMDB (Configuration Management Database) e altri.

NIS2 è una direttiva europea con la quale l’Europa chiede alle organizzazioni di rafforzare la propria posizione in materia di sicurezza informatica affinché soddisfino determinati criteri. La sicurezza delle informazioni è una responsabilità molto importante dei professionisti IT.

In che modo ITIL può aiutare le aziende ad essere conformi alla direttiva NIS2?

Il modo più semplice per essere conformi alla direttiva NIS2 è attraverso una certificazione ISO27001 o Cyber Fundamentals. Per superare con successo tale certificazione, un’organizzazione deve essere in grado di dimostrare la propria conformità a diversi requisiti. La definizione dell’ambito di protezione di un’organizzazione avviene attraverso la pratica ITIL Configuration Management.

La pratica ITIL Incident Management consente alle organizzazioni di essere conformi al requisito NIS2 di comunicare qualsiasi incidente di sicurezza significativo all’autorità nazionale competente in materia di sicurezza informatica entro 24 ore.

Recentemente mi sono imbattuto in questi concetti negli ospedali ed in altre organizzazioni sanitarie.

Qual è stata la tua esperienza di collaborazione con gli ospedali che devono adeguarsi alla direttiva NIS2?

Il grado di maturità ITIL negli ospedali può variare notevolmente. Alcuni, soprattutto quelli collegati alle università, sono certificati ISO27001, il che garantisce di fatto l’80% della conformità alla NIS2. In altri ospedali, il grado di maturità è molto più basso, e talvolta è totalmente inesistente. La maggior parte degli ospedali è classificata come essenziale da NIS2 e deve quindi essere conforme ai criteri più severi della direttiva entro aprile 2027.

Puoi condividere alcuni esempi rilevanti tratti dalla tua esperienza con gli ospedali?

Gli ospedali sono organizzati in reparti come Radiologia, Oncologia, Pediatria, ecc. L’esperienza dimostra che ciascuno di questi reparti è di fatto una PMI a sé stante, con un proprio responsabile e un proprio budget. Può essere difficile convincere la direzione di ciascuna di queste PMI ad aderire agli sforzi dell’ospedale per soddisfare gli standard di sicurezza informatica previsti.

In che modo le pratiche ITIL come Configuration Management, Incident Management e Change Management possono aiutare le organizzazioni a conformarsi alla normativa NIS2?

Configuration Management guida un’organizzazione nella creazione e nella manutenzione del Configuration Management Database (CMDB). In questo database sono presenti tutti gli hardware, i software, le piattaforme SaaS, gli spazi di archiviazione e altro ancora utilizzati dall’organizzazione. Questa è la risposta al requisito NIS2 di identificare l’ambito di ciò che deve essere protetto.

Per reagire agli incidenti di sicurezza e rispettare i requisiti NIS2, il primo passo è quello di rilevare tutti gli incidenti, differenziandoli da altre cose come le richieste di servizio o gli eventi, e questo viene fatto attraverso la pratica dell’Incident Management.

NIS2 afferma esplicitamente che ogni modifica all’ambiente IT deve essere sottoposta ad un controllo di sicurezza. L’implementazione della pratica ITIL Change Management nella tua organizzazione non solo ti aiuterà a rilevare ogni cambiamento, ma guiderà anche il tuo team attraverso un processo di gestione efficiente.

Uno dei temi principali che sta emergendo è come l’IA potrà aiutare nel flusso di lavoro ITIL?

L’IA faciliterà la comunicazione all’interno dei workflow e faciliterà le interazioni tra gli individui. I chatbot intelligenti potranno migliorare drasticamente la qualità dell’acquisizione delle informazioni durante la registrazione di incidenti e service request.

La valutazione dei rischi (al centro di NIS2 e Change Management) potrà essere parzialmente automatizzata, sicuramente velocizzata e migliorata, soprattutto se il software IA utilizzato dall’organizzazione ha accesso al CMDB.
E molto, molto altro ancora!

Sei interessato/a ad avere una panoramica completa di ITIL? Scarica la nostra infografica “La Mappa Generale di ITIL 4” per avere una panoramica su come ITIL può supportare le tue esigenze.

Per ulteriori informazioni, visita la nostra pagina web dedicata a ITIL o contattaci!