Case Study
The better the question. The better the answer. The better the world works.
Case Study

Cybersecurity Compliance alla Direttiva NIS e Disposizioni in materia di Perimetro Cibernetico Nazionale

Con l'efficace supporto di EY è stato possibile accompagnare il Cliente, Operatore di Servizi Essenziali (OSE), nel raggiungimento delle esigenze di compliance cyber grazie alla disponibilità di un approccio ingegnerizzato ed innovativo per far fronte alle nuove necessità emerse nel panorama nazionale ed europeo.

ey two men working in data center
(Chapter breaker)
1

Chapter 1

Quali sono le sfide che la Compliance agli obblighi richiesti da NIS/Perimetro Cibernetico implica?

Il Cliente OSE già disponeva di un discreto livello di maturità dei processi di cybersecurity ma quali sono gli innalzamenti dei parametri di Sicurezza a cui si deve far fronte? Quali sono i presidi da innalzare? Come porli in essere in modo efficiente?

Il quadro regolatorio in materia di Cybersecurity per gli OSE, e più in generale per i soggetti che svolgono una Funzione/Servizio Essenziale nei settori identificati all’interno dell’ecosistema nazionale, richiede l’attuazione di una serie di adempimenti (analisi dei rischi cyber, individuazione filiera e sistemi ICT sottesi, stakeholder interni ed esteni, presenza di misure tecno-organizzative cyber, notifica incidenti rilevanti, ecc.) richiesti in coerenza a specifici cronoprogrammi stabiliti dai Ministeri Competenti ed altre Istituzioni coinvolte (PdCM, DIS, MISE, ecc.).

Non partiamo da zero nel soddisfare le esigenze di compliance cyber, ma lo sforzo è prevalentemente connesso alla elaborazione e rappresentazione dei presidi esistenti, oltre che alla nuova dimensione di una sempre maggiore comunicazione e condivisione e verso l’esterno
Chief Information Security Officer

Il Cliente OSE ha avuto necessità di condurre un assessment per una puntuale rilevazione dell’as-is dell’ecosistema della Funzione/Servizio essenziale, della relativa supply chain, delle parti coinvolte (tra cui fornitori e terze parti) come attori fondamentali, dei presidi tecnico-organizzativi cyber attuati. Inoltre, è stato necessario aggiornare l’analisi dei rischi cyber con riferimento alla Funzione/Servizio essenziale per poi redigere le mappe di applicazioni e sistemi ICT sottesi alla Funzione/Servizio essenziale, con la relativa catena tecnologica. Il processo e le procedure di gestione incidenti sono stati oggetto di approfondimento dovendo contemplare l’adattamento e l’adozione degli obblighi di notifica in caso di incidente rilevante secondo soglie individuate dall’Autorità Competente NIS. È stato richiesto supporto nella definizione dei piani di rientro e di una roadmap di improvement, anche sfruttando elementi di benchmarking che EY poteva rendere disponibile grazie al proprio Network. Infine è stato fornito supporto nelle attività di comunicazione e notifica nei confronti dell’Autorità Competente ed altri soggetti istituzionali che entrano in modo preponderante nel processo di condivisione delle informazioni.

Contattaci

Enrico Micillo, Associate Partner email

Tania Di Tuoro, Manager email

Francesco Daniele, Manager email

Simone Bortoloni, Senior Consultant email

ey hand holding tablet
(Chapter breaker)
2

Chapter 2

Cybersecurity Compliance: supporto nell’indirizzamento delle esigenze di conformità in ambito Direttiva NIS e Perimetro Cibernetico Nazionale.

Supporto al recepimento degli adempimenti introdotti dalle recenti evoluzioni normative in ambito cybersecurity compliance, in relazione sia ad aspetti organizzativi, che procedurali e tecnologici.

Cybersecurity Compliance: supporto all’indirizzamento delle esigenze di conformità in ambito Direttiva NIS e Perimetro Cyber

L’iniziativa di Cybersecurity Compliance che abbiamo sviluppato si inserisce in un programma definito sulla base delle esigenze di business e delle caratteristiche specifiche del cliente al fine di garantire una applicazione immediata ed efficiente della soluzione. Tale iniziativa è stata strutturata sulla base del Framework di Cybersecurity Nazionale (a sua volta definito sulla base degli standard e best practices riconosciuti in ambito Cybersecurity: ENISA, NIST, ISO ed ISA) e ha permesso di valutare il livello di maturità in termini di sicurezza di ciascun servizio essenziale erogato. 

Tale valutazione è stata fondamentale e propedeutica alla definizione di una strategia di remediation volta ad innalzare il livello di sicurezza complessivo dei servizi erogati.

In particolare, la strategia di remediation implementata è relativa all’insieme delle azioni necessarie ad incrementare il livello di maturità della Cybersecurity, sia nei processi aziendali a supporto del business che nel sistema informativo aziendale a supporto dell’erogazione dei Servizi Essenziali, nonché relativamente alla gestione delle terze parti e degli stakeholder fondamentali.

Il Team EY, si è avvalso di un pool di professionisti altamente qualificato e con skill complementari presenti nel vasto Network EY, esperti nell’ambito della Cybersecurity Compliance, in grado di fornire supporto sulle tematiche afferenti alle normative in ambito Sicurezza Nazionale (es. D.L. 105/2019: perimetro di sicurezza cibernetica, Direttiva UE 2016/1148 – Direttiva NIS, ecc.), in accordo agli standard di sicurezza riconosciuti (es. ISO/IEC 27001, NIST, ecc.) ed altre best-practice, garantendo peraltro un osservatorio continuo sulle evoluzioni del landscape normativo.

 
In conclusione, abbiamo aiutato il team di Cybersecurity del nostro cliente ad incrementare la security posture dei servizi essenziali erogati dall’azienda trasferendo in maniera chiara al Top management i benefici ottenuti.
Enrico Micillo
Associate Partner
ey women with glass looking desktop
(Chapter breaker)
3

Chapter 3

Un miglioramento del livello di presidio cyber con riferimento ai servizi essenziali erogati.

L’iniziativa di Cybersecurity Compliance ha garantito un maggior presidio da parte del team di Cybersecurity sui processi e sistemi relativi ai Servizi Essenziali erogati.

I risultati dell’iniziativa di Cybersecurity Compliance

Il Cliente, fin da subito ha potuto constatare i benefici derivanti dall’affiancamento di un soggetto come EY, indirizzando le proprie esigenze tramite la progettualità di Cybersecurity Compliance, tale iniziativa è stata in grado di garantire un allineamento alle indicazioni del contesto normativo con particolare riferimento alla NIS e al Perimetro Cibernetico, nonché ad incrementare la Security Posture aziendale per quanto concerne i servizi essenziali.

A tal proposito, EY ha supportato il cliente anche grazie ad alcuni elementi distintivi che hanno favorito il raggiungimento degli obiettivi e dei risultati attesi:

  • EY ha disegnato nuovi processi di Comunicazione sia Interni, rivolti principalmente al Top Management e al Board aziendale, sia Esterni verso le Autorità di riferimento per garantire un maggiore coinvolgimento degli stakeholder interessati;
  • EY, grazie al proprio network, ha reso disponibile al cliente analisi di Benchmarking e studi di settori con focus su specifici ambiti per favorire e guidare il cliente nell’individuazione delle soluzioni ottimali;
  • EY ha supportato il cliente nella definizione di specifiche soluzioni tecnologiche anche grazie ad analisi costi /benefici;
  • EY ha garantito un monitoraggio continuativo del landscape normativo, sempre in continua evoluzione, per indirizzare eventuali nuove esigenze.

In particolare, grazie a tale iniziativa il nostro cliente ha potuto riscontrare i seguenti vantaggi e benefici:

  • Rafforzamento della Security Posture aziendale
  • Un efficientamento dei processi di comunicazione verso le Autorità di riferimento e gli stakeholders interni
  • Preciso orientamento sulle scelte strategiche e nell’individuazione delle azioni di remediation
  • Individuazione di soluzioni tecnologiche in ambito Cybersecurity adatte a soddisfare i needs