Direttiva NIS2: cosa fare per adeguarsi
scritto da Silvia Bergamaschi

Direttiva NIS2: cosa fare per adeguarsi

Probabilmente negli ultimi mesi avrai sentito parlare di NIS2, ma di cosa si tratta esattamente? NIS è l’acronimo di Network and Information Security, si tratta di una direttiva europea che contiene linee guida e requisiti volti ad aumentare il livello di sicurezza dell’infrastruttura informatica delle aziende. La NIS2 fa seguito a una precedente direttiva del 2016 che ha rappresentato la prima misura legislativa a livello europeo con l’obiettivo di creare un primo livello di armonizzazione in materia di cybersecurity. La direttiva NIS2 è entrata in vigore il 17 gennaio 2023 e dovrà essere recepita dai singoli Stati membri entro il 17 ottobre 2024.

Cosa deve fare un IT Manager per rendere la sua azienda conforme alla direttiva NIS2?

Ecco un elenco delle azioni da portare avanti per rendere l’azienda conforme alla direttiva:

1.   Politiche di analisi dei rischi
, ovvero adottare misure preventive e correttive per gestire le minacce alla sicurezza delle reti e dei sistemi includendo:

  • analisi dei rischi > identificazione e valutazione delle potenziali minacce, vulnerabilità e impatti sulla sicurezza dei sistemi;
  • politiche di sicurezza > definizione e attuazione di politiche specifiche che stabiliscono linee guida per proteggere i sistemi informatici, queste politiche possono riguardare accessi autorizzati, gestione delle password, crittografia e altre best practice di sicurezza;
  • prevenzione e protezione > attuazione di contromisure per prevenire o mitigare gli effetti di potenziali minacce, includendo l'installazione di software, aggiornamenti regolari e politiche di gestione degli accessi;
  • predisposizione di un piano di Incident Response > stesura di un piano utile  per prevedere, prioritizzare e rispondere in maniera tempestiva ed efficace agli incidenti di cybersecurity grazie alla predisposizione di standard, policy, procedure e team adeguati;
  • definizione di un piano di Business Continuity , gestione backup e ripristino in caso di evento disastroso > predisporre come dovrà essere gestita una situazione di emergenza o di interruzione delle attività al fine di minimizzare l’impatto sull’azienda e mantenere inalterata la capacità produttiva e il brand positioning.

2. Sicurezza della catena di approvvigionamento, implica implementare misure di sicurezza non solo per i sistemi interni dell'azienda, ma anche per le connessioni e le risorse provenienti dai fornitori esterni. Questa attenzione alla catena di approvvigionamento mira a ridurre i rischi di compromissione della sicurezza attraverso terze parti e a garantire la robustezza complessiva del sistema informativo aziendale.

3. Formazione del personale, best practices e formazione dei dipendenti in materia di sicurezza informatica.

4. Sicurezza delle risorse umane, strategie di controllo dell’accesso, uso di soluzioni di autenticazione a più fattori o di autenticazione continua.

5. Effettuazione regolare di test, per verificare la reale efficacia delle misure di sicurezza adottate.

6. Predisposizione di adeguata documentazione relativa alle misure di sicurezza implementate, alle revisioni effettuate e alle azioni intraprese in risposta agli incidenti.


Quali sono i settori merceologici coinvolti? 

La Direttiva NIS2 riguarda organizzazioni sia del settore pubblico che privato, che gestiscono servizi ritenuti fondamentali per la società. Queste imprese devono impegnarsi ad aumentare il proprio livello di cybersecurity poiché sono considerate strategiche per il corretto funzionamento dei servizi essenziali. Ecco un breve elenco dei settori ritenuti “essenziali”:

  • Energia – fornitura, distribuzione, trasmissione e vendite;

  • Trasporto - aereo, ferroviario, stradale e marittimo;

  • Finanza - credito, commercio, mercato e infrastruttura;

  • Salute – ricerca, produzione, fornitori e produttori;

  • Acque potabile & reflue.

Inoltre, la Direttiva NIS2, si applica anche ai fornitori di servizi digitali che anche se non si trovano a un livello di rischio così elevato come le prime devono comunque garantire standard di sicurezza elevati per proteggere sia i dati dei propri utenti che quelli dei clienti e dei fornitori con cui collaborano. All'interno di questo elenco troviamo:

  • Infrastrutture digitali – DNS, servizi fiduciari, servizi di data center, cloud computing, servizi di comunicazione, fornitori di servizi gestiti e fornitori di sicurezza gestita;

  • Pubblica amministrazione – comuni e regioni;

  • Spazio – software e servizi.

Oltre ai 2 elenchi sopra la direttiva NIS2 introduce una nuova tipologia di settori che vengono definiti “altri settori critici” che sono:

  • Servizi postali e corrieri;

  • Gestione dei rifiuti;

  • Sostanze chimiche – produzione e distribuzione;

  • Alimentari – produzione e distribuzione;

  • Produzione di apparecchiature, macchinari e veicoli farmaceutici, elettronici e ottici;

  • Fornitori digitali di marketplace online, motori di ricerca, piattaforme social;

  • Organizzazioni di ricerca.


Cosa succede se non ci si adegua? 

Lo scopo della NIS2 è quello di migliorare e aumentare il livello di sicurezza informatica degli Stati appartenenti all’Unione Europea, di conseguenza non ci sono cifre precise relative alle non conformità che vengono riscontrate, ma piuttosto indicazioni di massima e percentuali. Una differenza importante relativa alla pena che l’organizzazione dovrà scontare dipende dalla sua categorizzazione come “essenziale” o “importante”.

Gli operatori essenziali potrebbero essere soggetti a sanzioni pecuniarie amministrative fino a un massimo di 10 milioni di euro o al 2% del loro fatturato globale.

Gli operatori importanti, invece, potrebbero essere soggetti a sanzioni fino a un massimo di 7 milioni di euro o al 1,4% del loro fatturato globale.

Per quanto riguarda le sanzioni penali, si fa riferimento alla legislazione specifica che ogni Stato Membro produrrà in materia, tenendo presente che in Italia, sono previste pene fino a 7 anni di reclusione per violazioni gravi della privacy.

Ti interessa approfondire quali sono le attività/procedure da mettere in atto per rendere conforme la tua azienda? Hai già in piedi molte di queste attività ma ti serve consulenza su una specifica azione non ancora implementata? 

Scrivici e ti contatteremo per parlarne in maniera più approfondita!

Silvia Bergamaschi
Silvia Bergamaschi

Mi chiamo Silvia e in T-Consulting mi occupo di marketing e comunicazione, mi piace trasmettere idee e concetti in modo chiaro e coinvolgente; collaboro alla promozione delle nostre soluzioni per dare supporto a chi lavora tutti i giorni in ambito IT.


TORNA AL BLOG

CONTINUA A LEGGERE