Articolo 21(2).

Le organizzazioni devono stabilire e mantenere politiche sull’analisi dei rischi e sulla sicurezza dei sistemi informativi. Ciò include la definizione di un quadro di governance, la conduzione di valutazioni regolari dei rischi, il mantenimento di un registro dei rischi e la definizione di cicli di revisione per le politiche di sicurezza. La valutazione di Konforme copre la maturità delle policy, la completezza del registro dei rischi e la struttura di governance.

Procedure per la prevenzione, il rilevamento e la risposta agli incidenti, inclusi percorsi di escalation e obblighi di notifica. La NIS2 introduce tempistiche rigorose per la segnalazione degli incidenti — un preallarme entro 24 ore, una notifica dell’incidente entro 72 ore e un rapporto finale entro un mese. Konforme monitora la maturità della gestione degli incidenti e la prontezza del piano di risposta.

Gestione della continuità operativa, inclusa la gestione dei backup, il disaster recovery e la gestione delle crisi. Le organizzazioni devono garantire di poter mantenere le funzioni essenziali durante e dopo un incidente. Konforme scansiona le configurazioni di backup nel cloud e valuta la maturità della documentazione BCP/DRP.

Aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi fornitori diretti o prestatori di servizi. Ciò include la valutazione del rischio dei fornitori, i requisiti contrattuali di sicurezza e il monitoraggio della catena di approvvigionamento per le vulnerabilità. Konforme valuta i processi di gestione del rischio dei fornitori e i controlli sulle terze parti.

Sicurezza nell’acquisizione, nello sviluppo e nella manutenzione delle reti e dei sistemi informativi, inclusa la gestione e la divulgazione delle vulnerabilità. Lo scanner tecnico di Konforme verifica le configurazioni AWS e Azure rispetto ai controlli mappati NIS2 per segmentazione di rete, regole firewall, sicurezza VPC e gestione delle vulnerabilità.

Politiche e procedure per valutare l’efficacia delle misure di gestione del rischio di cibersicurezza. Le organizzazioni devono testare e valutare regolarmente la propria postura di sicurezza. Konforme fornisce un punteggio continuo che mostra esattamente dove si trovano le lacune di conformità e come si evolvono nel tempo.

Pratiche di base di igiene informatica e formazione sulla cibersicurezza per il personale. La NIS2 richiede esplicitamente che anche gli organi di gestione ricevano formazione. Le campagne di formazione dei dipendenti di Konforme consentono di assegnare accettazioni di policy e quiz sulla sicurezza, monitorare il completamento e creare una traccia di audit.

Politiche e procedure relative all’uso della crittografia e, ove appropriato, della cifratura. Lo scanner tecnico di Konforme verifica le configurazioni di crittografia a riposo e in transito nella tua infrastruttura cloud — bucket S3, istanze RDS, volumi EBS, Azure Storage e altro ancora.

Sicurezza delle risorse umane, politiche di controllo degli accessi e gestione degli asset. Ciò copre l’intero ciclo di vita del dipendente, dall’onboarding all’offboarding, il controllo degli accessi basato sui ruoli e i principi del privilegio minimo. Konforme verifica le configurazioni IAM, le policy sulle password e valuta i processi di sicurezza delle risorse umane.

L’uso dell’autenticazione a più fattori o di soluzioni di autenticazione continua, comunicazioni vocali, video e testuali protette e sistemi di comunicazione di emergenza protetti all’interno del soggetto. Konforme verifica l’applicazione della MFA nei tuoi account cloud e valuta la tua postura di autenticazione in modo olistico.