Consulenza Direttiva NIS 2: Network and Information Security Directive 2
Consulenza Direttiva NIS 2: la direttiva UE 2022/2555 (Direttiva NIS 2) è un atto legislativo della Commissione Europea che mira a raggiungere un livello comune di cibersicurezza in tutta l’Unione europea e che abroga la superata NIS.
Gli Stati membri devono garantire che le entità “essenziali” e “importanti” adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza delle reti e dei sistemi informativi e per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi.
Le misure devono basarsi su un approccio multirischio.
Direttiva NIS 2: entrata in vigore
Entro il 17 ottobre 2024, gli Stati membri devono adottare e pubblicare le misure necessarie per conformarsi alla direttiva NIS 2. Tali misure decorreranno dal 18 ottobre 2024.
La gestione del rischio come requisito richiesto dalla Direttiva NIS 2
Ai sensi dell’articolo 20 (Governance) della Direttiva NIS 2, gli organi di gestione di entità “essenziali” e “importanti” devono approvare le misure di gestione del rischio di sicurezza informatica adottate da tali entità, supervisionarne l’attuazione e “possono essere ritenuti responsabili delle violazioni”.
Novità richiesta dalla Direttiva NIS 2 sulla formazione: chi deve essere formato oltre ai dipendenti
Ai sensi dell’articolo 20 della Direttiva NIS 2, gli Stati membri provvedono affinché i membri degli organi di gestione (dunque le figure apicali) di enti essenziali e importanti siano tenuti a seguire la formazione e incoraggiano regolarmente entità essenziali e importanti a offrire una formazione analoga ai loro dipendenti, in modo che acquisiscano conoscenze e competenze sufficienti per consentire loro di identificare i rischi e valutare le pratiche di gestione del rischio di cibersicurezza e il loro impatto sui servizi forniti dall’entità.
Direttiva NIS 2: le misure da adottare
Ai sensi dell’articolo 21 della Direttiva NIS 2 (misure di gestione del rischio per la sicurezza informatica), le entità essenziali e importanti devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza della rete e dei sistemi informativi che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi e per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi.
Le misure tecniche, operative e organizzative imposte dalla Direttiva NIS 2 si basano su un “approccio di tutti i pericoli” che mira a proteggere dalla rete e i sistemi informativi e l’ambiente fisico di tali sistemi dagli incidenti e comprende “almeno” quanto segue:
a) le politiche in materia di analisi dei rischi e di sicurezza del sistema informativo;
b) la gestione degli incidenti;
c) la continuità operativa, come la gestione dei backup e il disaster recovery, e la gestione delle crisi;
d) la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza relativi alle relazioni tra ciascuna entità e i suoi fornitori diretti o fornitori di servizi;
e) la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione delle reti e dei sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità;
f) le politiche e le procedure per valutare l’efficacia delle misure di gestione del rischio di cibersicurezza;
g) pratiche di base per l’igiene informatica e la formazione in materia di cibersicurezza;
h) le politiche e le procedure relative all’uso della crittografia;
i) la sicurezza delle risorse umane, le politiche di controllo degli accessi;
j) l’uso di soluzioni di autenticazione a più fattori.
Le aziende coinvolte dall’applicazione della Direttiva NIS 2
La NIS2 definisce due categorie di entità nel suo ambito di applicazione: entità importanti ed entità essenziali.
Le entità di entrambe le categorie dovranno soddisfare gli stessi requisiti.
Tuttavia, la distinzione sarà nelle misure di supervisione e nelle sanzioni. Le entità essenziali dovranno soddisfare i requisiti di supervisione a partire dall’introduzione della NIS2, mentre le entità importanti saranno soggette a supervisione ex post, il che significa che in caso le autorità ricevano prove di non conformità, verranno prese azioni.
La NIS2 ha semplificato l’esercizio di delimitazione che le autorità competenti devono compiere. È stata definita una lista di settori e una regola base secondo la quale:
- grandi imprese (con oltre 250 dipendenti o con un fatturato superiore ai 50 milioni di euro)
- piccole-medie imprese (con oltre 50 dipendenti o con un fatturato superiore ai 10 milioni di euro), appartenenti a quei settori in scope, saranno direttamente incluse nell’ambito.
Tuttavia, le piccole o micro-organizzazioni non sono necessariamente escluse; gli Stati membri possono estendere questi requisiti se un’impresa soddisfa criteri specifici che indicano un ruolo chiave per la società, l’economia o per particolari settori o tipi di servizi.
Consulenza Direttiva NIS 2
Lo Studio Rabaioli offre un servizio di consulenza per l’adeguamento alla compliance sulla Direttiva NIS 2, per l’aggiornamento del personale e il mantenimento dei requisiti necessari nel corso del tempo.
In particolare, i servizi di consulenza per la direttiva NIS 2 offerti dallo Studio Rabaioli comprendono:
- servizi di vulnerability assessment continui;
- gap analysis e definizione del piano di intervento;
- revisione dell’incident response plan e del piano di disaster recovery;
- consulenza continua per l’adeguamento alla direttiva NIS 2;
- redazione dell’apparato documentale;
- risk assessment supporto per audit interni ed esterni;
- formazione;
Inoltre assistiamo le aziende nelle revisioni della propria organizzazione o degli obiettivi aziendali, a seguito dell’emissione di nuove versioni della norma, oppure nell’adozione di nuovi standard dedicati a specifici settori. Non da ultimo diamo supporto per il raggiungimento di compliance come la ISO/IEC 27001 e la ISO 22301.