Nuovi requisiti e obblighi per le organizzazioni UE
La Direttiva NIS2 è l’acronimo di “Network & Information Security” (Sicurezza della rete e delle informazioni). L’obiettivo della Direttiva NIS2 è rafforzare il livello collettivo di cyber security degli Stati membri dell’UE, aumentando i requisiti di applicazione della cyber security per settori ritenuti essenziali o importanti. Entrata in vigore a gennaio 2023, dovrà essere recepita dai singoli Stati entro: il 17 ottobre 2024.
L'entrata in vigore della Direttiva NIS2 ha introdotto nuovi obblighi di sicurezza informatica per grandi e medie imprese, sia nel settore pubblico che privato. Con il recepimento imminente da parte degli Stati Membri, i soggetti coinvolti saranno tenuti ad aderire a rigorosi requisiti relativi alla governance, alla continuità operativa, al controllo della catena di approvvigionamento, alla segnalazione degli incidenti e, in generale, alla gestione dei rischi.
La Direttiva NIS2 amplia notevolmente il numero e la tipologia di attori coinvolti: non più solo le aziende operanti nei settori altamente critici/essenziali individuati dalla Direttiva NIS1, ma anche soggetti parimenti qualificati come critici ma operanti in ambiti differenti.
Con il recepimento della Direttiva da parte degli Stati Membri, le organizzazioni saranno tenute ad aderire a stringenti requisiti, i quali possono essere suddivisi in cinque macro-ambiti:
I vertici delle entità fondamentali e rilevanti, come il Consiglio di Amministrazione, devono approvare le misure per la gestione dei rischi e potrebbero essere considerati responsabili in caso di violazione. Inoltre, tali organi di gestione sono tenuti a formare periodicamente i propri dipendenti, al fine di acquisire competenze e conoscenze adeguate.
Tra i vari settori di gestione dei rischi indicati nella Direttiva, si attribuisce una particolare importanza alla capacità delle entità coinvolte di assicurare la continuità dei propri servizi e di minimizzare l'impatto di eventuali interruzioni mediante l'implementazione di misure quali la gestione dei backup, il ripristino in caso di disastro e la gestione delle crisi.
Un ulteriore aspetto cruciale riguarda la capacità delle organizzazioni di assicurare la sicurezza della propria catena di approvvigionamento, considerando le vulnerabilità specifiche dei fornitori, nonché le loro pratiche di sicurezza informatica.
I soggetti essenziali o di rilevanza devono obbligatoriamente segnalare ai propri CSIRT o alle autorità nazionali competenti eventuali incidenti che possano avere un impatto significativo sulla fornitura dei loro servizi.
Secondo l'articolo 23, un incidente è considerato significativo se:
"Ha provocato o è suscettibile di provocare gravi interruzioni operative dei servizi o perdite finanziarie per l'entità coinvolta."
"Ha avuto o potrebbe avere conseguenze su altre persone fisiche o giuridiche, causando perdite materiali o immateriali di considerevole entità."
La Direttiva NIS 2 impone l'adozione di misure tecniche, operative e organizzative adeguate e proporzionate ai rischi di cybersecurity, seguendo un approccio multirischio.
Queste misure includono:
Analisi dei rischi e sicurezza dei sistemi informatici
Continuità operativa, come la gestione dei backup e il ripristino di emergenza
Pratiche di base per la cyber-igiene
Sicurezza della supply chain
Sicurezza delle risorse umane, policy di controllo degli accessi e gestione delle risorse
Accesso Zero Trust (autenticazione multi fattoriale, autenticazione continua)
Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi
Tecnologie di crittografie e cifratura
Gestione e reportistica degli incidenti
Abbracciare senza indugi la Direttiva NIS 2 è essenziale per le aziende che aspirano a potenziare la loro difesa cibernetica. Agire tempestivamente su questo fronte multirischio costituisce il passo fondamentale per salvaguardare il proprio business da minacce informatiche sempre più avanzate. Con una data di scadenza imminente (17 ottobre 2024), non perdere tempo: preparati ora per garantire un futuro digitale sicuro.
Questo documento fornisce una breve panoramica della Direttiva NIS2 e spiega come potrebbe influire sul business, fornendo anche indicazioni su come prepararsi.
Contattaci oggi stesso! +39 011 22 38 774
Siamo qui per aiutarti a navigare questo cambiamento e rafforzare la tua sicurezza informatica.