AWS offre diversi vantaggi alle organizzazioni che cercano di conformarsi alla direttiva NIS2:
Modello di responsabilità condivisa:
AWS adotta un modello di responsabilità condivisa per la sicurezza e la conformità [1, 2].
Ciò significa che AWS si assume la responsabilità della sicurezza dell'infrastruttura cloud sottostante, mentre i clienti sono responsabili della sicurezza delle proprie applicazioni e dei propri dati all'interno dell'ambiente AWS.
Questa responsabilità condivisa è illustrata per diversi tipi di servizi, evidenziando le diverse responsabilità di AWS e dei clienti.
Ad esempio, nel caso di servizi di infrastruttura come Amazon Elastic Compute Cloud (EC2), AWS gestisce la sicurezza dell'hardware fisico, dell'infrastruttura di virtualizzazione e dell'hypervisor, mentre il cliente è responsabile del sistema operativo, della rete e dei dati.
Questo modello consente ai clienti di concentrarsi sugli aspetti di sicurezza specifici delle proprie applicazioni e dei propri dati, sfruttando al contempo le solide misure di sicurezza implementate da AWS a livello di infrastruttura [2].
Conformità normativa:
AWS si impegna a soddisfare rigorosi standard di sicurezza e conformità, tra cui quelli pertinenti alla direttiva NIS2 [1, 3].
Ad esempio, AWS ha ottenuto certificazioni e attestazioni da organismi di regolamentazione europei come la Banca di Spagna, che ha riconosciuto l'allineamento di AWS con le sue normative sulla sicurezza dei sistemi informativi [3].
Queste certificazioni e attestazioni dimostrano l'impegno di AWS nel soddisfare i requisiti normativi e forniscono ai clienti la certezza che i loro dati e le loro applicazioni siano gestiti in un ambiente conforme.
Servizi per la resilienza operativa:
AWS offre una gamma completa di servizi che aiutano i clienti a rafforzare la propria resilienza operativa, un aspetto chiave della direttiva NIS2 [4, 5].
Questi servizi spaziano dalla progettazione e implementazione sicura delle applicazioni, alla gestione di backup e disaster recovery, al monitoraggio e alla risposta agli incidenti di sicurezza. AWS offre strumenti come AWS Well-Architected Tool e AWS Cloud Adoption Framework (AWS CAF) per aiutare i clienti a costruire infrastrutture sicure, performanti, resilienti ed efficienti [4].
Strumenti per la gestione dei rischi di cybersecurity:
AWS fornisce strumenti specifici per aiutare i clienti a gestire i rischi di cybersecurity in linea con i requisiti della direttiva NIS2 [5, 6].
Questi strumenti includono servizi per il monitoraggio continuo della sicurezza, la gestione delle vulnerabilità, la risposta agli incidenti e l'analisi forense. Ad esempio, AWS offre servizi come AWS Security Hub, Amazon GuardDuty, AWS CloudTrail e AWS Config che forniscono ai clienti una visibilità completa dello stato di sicurezza dei propri ambienti AWS, consentendo loro di rilevare e rispondere rapidamente a potenziali minacce e di dimostrare la conformità ai requisiti normativi [7].
Supporto alla supply chain:
AWS riconosce l'importanza della sicurezza della supply chain nell'ambito della direttiva NIS2 e offre strumenti e servizi per aiutare i clienti a valutare e gestire i rischi associati ai propri fornitori [8].
La piattaforma AWS Marketplace, ad esempio, consente ai clienti di scegliere tra un'ampia gamma di soluzioni di sicurezza e conformità fornite da partner AWS verificati, semplificando la ricerca e l'implementazione di strumenti e servizi affidabili per la gestione della sicurezza della supply chain.
In generale, AWS fornisce alle organizzazioni un ambiente cloud sicuro, affidabile e conforme, supportandole nella loro conformità alla direttiva NIS2.
È fondamentale che i clienti AWS si impegnino in prima persona per comprendere i requisiti specifici della direttiva, valutare la propria posizione di rischio e adottare le misure appropriate nell'ambito del modello di responsabilità condivisa per garantire la sicurezza e la conformità dei propri sistemi e dati.
Questo è uno dei motivi per i quali bigblue ha scelto AWS per sviluppare i propri portali bigblue-mp
scopri i vantaggi di scegliere un partner come bigblue
[1]
Le seguenti considerazioni sono state scritte per i clienti AWS che sono classificati come entità importanti o essenziali ai sensi della Direttiva UE sulle misure per un elevato livello comune di sicurezza informatica in tutta l'Unione ("Direttiva NIS 2" o "NIS 2"). Questo documento aiuterà tali clienti a imparare e comprendere come Amazon Web Services (AWS) può supportare i clienti nell'affrontare gli aspetti chiave di NIS 2. È tuttavia importante tenere presente che NIS 2 è una direttiva, il che significa che deve essere recepita in legge in tutti gli Stati membri dell'UE entro il 17 ottobre 2024. Ciò potrebbe significare che alcuni Stati membri dell'UE includono aspetti aggiuntivi e speciali applicabili solo alle entità nell'ambito di quella particolare legge nazionale. Mentre questo documento supporta gli sforzi di conformità dei clienti, è esclusiva responsabilità dei clienti AWS pianificare e documentare il loro utilizzo di AWS in conformità con le normative esistenti e future. Questa guida:
NIS_2_Considerations_for_AWS_Customers.pdf
[2]
Considerazioni su Amazon Web Services NIS 2 per i clienti AWS
Modello di responsabilità condivisa AWS e NIS 2
La sicurezza è la nostra massima priorità in AWS. Costruiamo la nostra infrastruttura e i nostri servizi per allinearci ad alcuni dei requisiti di sicurezza e conformità più rigorosi in tutto il mondo, tra cui le leggi di implementazione NIS 2 pertinenti. I nostri clienti possono trarre vantaggio dai nostri sforzi con la possibilità di ereditare i controlli di sicurezza dall'infrastruttura scelta e utilizzare servizi e funzionalità AWS per implementare controlli di sicurezza aggiuntivi nell'ambiente dei clienti per soddisfare requisiti settoriali specifici. AWS compie uno sforzo continuo per allinearsi a diverse normative e standard di conformità europei e fornisce servizi che i clienti possono utilizzare per creare applicazioni conformi. Considerando il modello di responsabilità condivisa AWS, la sicurezza e la conformità rimangono una responsabilità condivisa tra AWS e i nostri clienti. L'assegnazione concreta delle responsabilità può variare in base al servizio scelto, come mostra il grafico seguente sul modello di responsabilità condivisa per tipi di servizio selezionati.
NIS_2_Considerations_for_AWS_Customers.pdf
[3]
controlli dei fornitori di servizi da cui dipendono le entità finanziarie spagnole.
Queste certificazioni e attestazioni soddisfano i requisiti di conformità per molte agenzie di regolamentazione in tutta Europa. Per quanto riguarda NIS 2, gli obblighi specifici che i clienti devono affrontare dipendono principalmente dai seguenti fattori: (a) l'implementazione nazionale di NIS 2, nello Stato membro dell'UE in cui il cliente ha la sua sede principale (vedere l'art. 26 NIS 2); (b) il settore a cui è assegnato il cliente (vedere gli allegati I e II NIS 2); (c) le dimensioni del cliente e (d) la sua classificazione come entità "essenziale" o "importante". Anche prima dell'introduzione della direttiva NIS 2, AWS ha supportato i clienti nel migliorare la loro resilienza e le capacità di risposta agli incidenti. La nostra infrastruttura di base è costruita per supportare i requisiti di sicurezza dell'esercito, delle banche globali e di altre organizzazioni altamente sensibili. AWS fornisce servizi di tecnologia dell'informazione e della comunicazione e gli elementi costitutivi che tutti i tipi di aziende, autorità pubbliche, università e individui utilizzano per diventare più sicuri, innovativi e reattivi alle proprie esigenze e a quelle dei propri clienti.
NIS_2_Considerazioni_per_i_clienti_AWS.pdf
[4]
Considerazioni su Amazon Web Services NIS 2 per i clienti AWS
Soluzioni di resilienza operativa a supporto di AWS
"Sicurezza per progettazione" e "Sicurezza per impostazione predefinita"
Come riflesso nel modello di responsabilità condivisa di AWS, i clienti rimangono responsabili della decisione su come proteggere i propri dati e servizi nel cloud AWS. È fondamentale per i nostri clienti nelle infrastrutture critiche adottare i principi "Sicurezza per progettazione" e "Sicurezza per impostazione predefinita" nello sviluppo dei prodotti. Per iniziare, i clienti possono utilizzare lo strumento AWS Well-Architected per creare un'infrastruttura più sicura, ad alte prestazioni, resiliente ed efficiente per una varietà di applicazioni e carichi di lavoro. Il pilastro di affidabilità dell'AWS Well-Architected Framework può ad esempio aiutare i clienti a comprendere i pro e i contro delle decisioni prese durante la creazione di carichi di lavoro su AWS. L'AWS Cloud Adoption Framework (AWS CAF) consente ai clienti di migliorare la prontezza per il cloud identificando e dando priorità alle opportunità di trasformazione. Queste risorse fondamentali aiutano i clienti a proteggere i carichi di lavoro regolamentati. AWS Security Hub fornisce inoltre ai clienti una visione completa del loro stato di sicurezza in AWS e li aiuta a controllare gli standard del settore e le best practice degli ambienti.
NIS_2_Considerations_for_AWS_Customers.pdf
[5]
Gestione delle misure di gestione del rischio di sicurezza informatica NIS 2
NIS 2 indica un set di misure minime di sicurezza informatica tecniche, operative e organizzative che le entità importanti ed essenziali devono implementare (in modo appropriato e
proporzionato), tenendo conto degli standard europei e internazionali all'avanguardia e pertinenti. Gli atti di attuazione e le linee guida normative aggiornate chiariranno l'ambito pratico
dei diversi obiettivi di sicurezza nella direttiva NIS 2 entro ottobre 2024.
Le organizzazioni, in particolare quelle che operano su scala globale, affrontano obblighi di sicurezza, normativi e di conformità unici, tra cui la gestione delle operazioni, della sicurezza e della resilienza per le infrastrutture critiche. Per aiutare a soddisfare le sfide dei crescenti volumi di dati per operazioni affidabili e per gestire un panorama operativo in continua evoluzione, AWS offre un set completo di servizi per espandere la resilienza e aumentare la sicurezza. Le seguenti soluzioni sono puramente mirate ad aspetti che i clienti AWS possono affrontare con risorse "nel cloud". Questo documento non affronta argomenti o risorse correlati a "del cloud". NIS_2_Considerazioni_per_i_clienti_AWS.pdf
[6]
Considerazioni su Amazon Web Services NIS 2 per i clienti AWS
In ogni caso, l'art. 21 NIS 2 sembra concentrarsi in particolar modo sull'efficace
implementazione delle misure di gestione del rischio di sicurezza informatica (controlli di rilevamento).
Domande tecniche come "I controlli sono stati configurati per soddisfare l'appetito per il rischio dell'organizzazione?" o aspetti organizzativi come "Abbiamo le giuste informazioni e conoscenze per affrontare la nostra postura di sicurezza informatica?" devono essere discusse dal cliente (proprietario di ogni carico di lavoro IT).
NIS_2_Considerations_for_AWS_Customers.pdf
[7]
Considerazioni su Amazon Web Services NIS 2 per i clienti AWS
I clienti possono utilizzare le fonti nominate per rispondere a domande come:
•Chi ha eseguito i comandi di rete?
•Ci sono state modifiche alla configurazione correlate all'incidente?
•Quali attori erano presenti durante un incidente?
•Qual era la configurazione precedente a un incidente?
Oltre ai dati grezzi dei sensori, AWS fornisce servizi che analizzano i dati dei sensori, li mettono in relazione e li raccolgono in un luogo centrale. AWS Guard Duty, ad esempio, digerisce i dati da CloudTrail e FlowLogs e monitora le minacce specifiche. Se AWS Guard Duty giunge a una conclusione utilizzando i suoi modelli di apprendimento automatico o i motori di stato corrispondenti, genera un incidente, inclusa una gravità.
NIS_2_Considerations_for_AWS_Customers.pdf
[8]
Considerazioni su Amazon Web Services NIS 2 per i clienti AWS
controlli di coerenza e test di failover su base regolare. Inoltre, i white paper AWS e i post del blog scritti per settori specifici possono aiutarti a capire come ottenere la resilienza operativa. Per maggiori informazioni, consulta l'approccio di Amazon Web Services alla resilienza operativa nel settore finanziario e oltre e il blog del settore pubblico di AWS. In caso di disastro, AWS consente ai clienti di accedere ai servizi cloud in periferia, anche nelle condizioni più difficili. L'AWS Disaster Response Action Team consente ai clienti di concentrarsi sulle funzioni mission-critical, mentre AWS fornisce dati e applicazioni critici, trasporta hardware alla base operativa e implementa infrastrutture distribuibili in base alle esigenze del cliente. Il Well-Architected Framework informa ulteriormente la tua strategia per il disaster recovery dei carichi di lavoro su AWS. (d) Sicurezza della supply chain
NIS_2_Considerations_for_AWS_Customers.pdf