Skip to main content
News

Recepimento NIS 2: 3 step concreti per adeguarsi

By 13 Giugno 2024No Comments6 min read

Acronimo di “Network and Information System”, la direttiva NIS 2  è la nuova direttiva europea sulla cybersecurity, Entrata in vigore nel 2023, ha aggiornato le misure dettate nel 2018 per rafforzare il livello generale di cybersicurezza nell’Unione europea e tenere il passo con l’evoluzione del panorama delle minacce informatiche. Oltre ad aver esteso l’ambito di applicazione delle norme a nuovi settori ed entità, la direttiva punta infatti a migliorare la resilienza e le capacità di risposta agli incidenti da parte di soggetti pubblici e privati.

La nuova normativa si rivolge in primo luogo agli Stati membri, prevedendo che questi recepiscano le novità entro il 17 ottobre 2024. È, inoltre, stabilita l’attivazione di meccanismi di cooperazione tra le autorità nazionali di cybersecurity e la creazione di una rete europea per le crisi informatiche che faciliti la gestione coordinata degli incidenti di sicurezza. A differenza della precedente normativa NIS, poi, la NIS 2 detta criteri uniformi per individuare gli operatori soggetti alle nuove regole.

Superata la precedente distinzione tra “operatore di servizi essenziali” e “fornitore di servizi digitali”, identificati da ciascuno Stato membro secondo propri criteri, la nuova direttiva parla di “soggetti essenziali” e “soggetti importanti” (articolo 3, pagina 5), prevedendo che le regole si applichino a tutti i soggetti pubblici o privati ad “alta criticità” ( allegato I, pagina 51) o che rientrano in “altri settori critici”. Tutti gli Stati e le imprese interessate hanno l’obbligo di condividere informazioni importanti per la cybersecurity.

I nuovi adempimenti richiesti alle imprese

In particolare, le imprese sono tenute a uniformarsi ai nuovi requisiti e obblighi fissati dalla NIS 2 adottando misure tecniche, operative e organizzative specifiche in quattro aree generali:

  1. gestione del rischio,
  2. responsabilità aziendale,
  3. obblighi di segnalazione,
  4. business continuity

Per conformarsi alla nuova direttiva, le organizzazioni devono infatti mettere in campo azioni dirette a ridurre al minimo i rischi informatici. Queste includono:

  • la gestione degli incidenti,
  • una maggiore sicurezza della catena di approvvigionamento,
  • una più estesa sicurezza della rete e un migliore controllo degli accessi, tramite crittografia e sistemi di autenticazione multi-fattore.

Recepire la NIS 2 adeguatamente implica, inoltre, che la direzione aziendale controlli, approvi e sia formata sulle misure di cybersecurity dell’organizzazione e si predisponga ad affrontare i rischi informatici. Ogni organizzazione risponde della propria sicurezza e del mancato adeguamento alla normativa: le violazioni possono infatti comportare sanzioni per il management, tra cui anche il divieto temporaneo di ricoprire ruoli dirigenziali.

Entrambe le categorie di soggetti individuati dalla normativa, siano essi “essenziali” o “importanti”, devono definire processi per la segnalazione tempestiva di incidenti di sicurezza che abbiano un impatto significativo sulla fornitura di servizi o sui destinatari dei servizi stessi. La direttiva è molto puntuale su questo punto e stabilisce scadenze specifiche per la notifica, fissando un “early warning” di 24 ore.

Infine, rivolgendosi a settori decisivi per la vita del Paese, per adeguarsi alla NIS 2 le aziende avranno l’obbligo di adottare precise contromisure per assicurare che l’attività non si fermi a causa di un incidente di sicurezza. Le organizzazioni devono perciò pianificare le strategie e gli strumenti da introdurre per garantire la continuità operativa in caso di incidenti informatici gravi:

  • meccanismi di ripristino dei sistemi,
  • definizione delle procedure di emergenze,
  • creazione di un team di risposta alle crisi.

I 3 step per adeguarsi alla nuova normativa NIS 2

Come detto, il recepimento della nuova direttiva da parte degli Stati membri sarà efficace a partire dal 18 ottobre 2024. Ciò significa che le imprese hanno a disposizione ancora pochi mesi per prepararsi al suo recepimento, ripensando e adeguando i processi interni sulla base dei nuovi adempimenti. Ecco, quindi, gli step fondamentali da seguire per adeguarsi alla nuova normativa.

  1. Determinare se l’azienda rientra nell’ambito di applicazione della direttiva NIS 2

È fondamentale verificare innanzitutto l’applicabilità della NIS 2 alla propria attività e identificare quali unità aziendali sono interessate dai nuovi obblighi normativi.

  • Sono considerati “soggetti essenziali” le organizzazioni operanti nei settori dell’energia, dei trasporti, della finanza, nonché le pubbliche amministrazioni e gli enti sanitari. Vi rientrano anche le imprese del settore aerospazio, quelle che si occupano di approvvigionamento idrico e tutte le infrastrutture digitali, come i fornitori di servizi cloud e le aziende ICT.
  • Sono invece qualificati come “soggetti importanti” le aziende attive nei servizi postali, nella gestione dei rifiuti e quelle che si occupano di prodotti chimici, ricerca e alimentari.
  1. Valutare le proprie misure di sicurezza

Una volta accertata l’applicabilità della normativa alla propria organizzazione, occorre procedere a una valutazione delle misure di sicurezza già in uso per verificarne la conformità alle nuove regole e pianificare le azioni necessarie all’adeguamento. Si tratta, infatti, di adattare e armonizzare tra loro le policy interne in materia di sicurezza dei sistemi, gestione degli incidenti di sicurezza e relativi obblighi di segnalazione. Di regola, per procedere a una valutazione complessiva delle soluzioni di sicurezza l’organizzazione fa ricorso ad audit esterni e  servizi di consulenza e può trovarsi anche a dover adottare  per migliorare le misure di sicurezza di base o per gestire specifiche minacce.

  1. Introdurre le nuove misure di sicurezza

Al termine della valutazione, l’organizzazione deve adottare tutti gli accorgimenti necessari a implementare la propria postura di sicurezza. Ciò comprende:

  • l’adozione di policy per la gestione e la segnalazione delle vulnerabilità,
  • la definizione di un piano per la gestione degli incidenti di sicurezza,
  • la previsione di piani di formazione dei dipendenti in materia di cybersecurity,
  • la diffusione di best practice per l’igiene informatica di base.

Occorre, inoltre, prevedere procedure di sicurezza per il personale che ha accesso a dati sensibili, mediante l’introduzione di sistemi di multi-factor authentication (MFA) e crittografia, e un piano di recovery, con aggiornamento continuo dei backup.

Fondamentale è, infine, garantire la sicurezza della supply chain, attraverso la valutazione del livello di sicurezza dei propri fornitori e l’adozione di misure per ridurre i rischi lungo tutta la catena.

Related Posts

News

Rischio informatico: la minaccia sono i tuoi colleghi

Errori di configurazione, eccessivi privilegi di accesso, credenziali rubate e social engineering. Mai come oggi,…
Marco Semplici
Marco Semplici2 Maggio 2024
cyber risk analysis News

Analisi del rischio cyber: perché e come farla in modo continuo

In un'era digitale dove la connettività è onnipresente, la gestione e prevenzione del rischio cyber…
Marco Semplici
Marco Semplici20 Giugno 2024
Sicurezza delle reti informatiche News

Sicurezza delle reti informatiche: 10 consigli per quantificare il rischio

La sicurezza delle reti informatiche è diventata una priorità assoluta per le aziende di ogni…
Marco Semplici
Marco Semplici26 Settembre 2024

© 2024 defSOC Srl . Sede Legale: Via Compagnoni, 63 20129 MILANO . P.IVA IT11497460961 . T. +39 0282 197189  Privacy Policy . Cookie Policy