Il legame tra cybersecurity e la direttiva NIS2 è stretto, poiché la NIS2 è un quadro normativo dell’Unione Europea progettato per migliorare la sicurezza informatica e la resilienza delle infrastrutture critiche e dei settori essenziali. Vediamo in dettaglio il rapporto tra i due:
A. Cos’è la NIS2?
La NIS2 (Network and Information Security Directive 2) è una revisione e un ampliamento della direttiva NIS (del 2016), con l’obiettivo di rafforzare la sicurezza delle reti e dei sistemi informativi in tutta l’UE. È stata approvata nel 2022 e sostituirà la NIS originale, ampliando il suo campo di applicazione e imponendo regole più severe. La direttiva NIS2 è entrata in vigore il 16 gennaio 2023, ma gli Stati membri dell’Unione Europea hanno tempo fino al 17 ottobre 2024 per recepirla nella loro legislazione nazionale. Ciò significa che, entro quella data, ogni Stato membro deve aver adottato le misure legislative, regolamentari e amministrative necessarie per conformarsi alla direttiva.
B. Obiettivi della NIS2
La NIS2 ha come obiettivi principali:
- Migliorare la cybersecurity a livello dell’Unione Europea.
- Aumentare la resilienza dei settori considerati critici, come energia, trasporti, sanità, finanza, acqua, e i fornitori di infrastrutture digitali.
- Stabilire una cooperazione più stretta tra gli Stati membri dell’UE e potenziare le capacità di risposta a incidenti di sicurezza informatica.
- Imporre obblighi di sicurezza alle organizzazioni in termini di gestione del rischio informatico e notifica di incidenti.
C. Implicazioni per la Cybersecurity
La NIS2 ha un impatto diretto sulla cybersecurity perché:
- Impone alle organizzazioni di adottare misure preventive per mitigare i rischi legati alla sicurezza informatica.
- Le aziende devono attuare misure tecniche e organizzative adeguate per proteggere le reti e i sistemi informativi, come la gestione delle vulnerabilità, la sicurezza delle comunicazioni, il controllo degli accessi e la risposta agli incidenti.
- La direttiva stabilisce che le organizzazioni devono avere piani di risposta agli incidenti di cybersecurity e notificarli tempestivamente alle autorità competenti.
- La NIS2 promuove una condivisione delle informazioni più efficace tra gli Stati membri per contrastare meglio le minacce informatiche globali.
D. Aumento delle Sanzioni
La NIS2 introduce sanzioni più severe per le organizzazioni che non rispettano i requisiti di sicurezza informatica, allineandosi alla logica del GDPR (General Data Protection Regulation). Le sanzioni possono essere significative, incentivando le imprese a investire in soluzioni di cybersecurity avanzate.
E. Ampia Applicazione
Rispetto alla NIS originale, la NIS2 amplia il campo di applicazione della normativa, includendo un numero maggiore di settori e tipologie di organizzazioni (anche più piccole) che devono adottare misure di cybersecurity obbligatorie:
• Rispetto alla NIS1 non più solo le aziende operanti nei settori altamente critici/essenziali, ma anche soggetti operanti in ambiti differenti, distinguendo tra settori essenziali e importanti
• Rientrano nell’ambito di applicazione solo le organizzazioni di medie-grandi dimensioni:
• medie: 50-250 dipendenti
• grandi: >250 dipendenti
• sono escluse le imprese con <50 dipendenti o un fatturato annuo <10 milioni di euro, a meno che non siano di importanza critica per la società
• Deve essere considerata l’intera catena di approvvigionamento a prescindere dalle dimensioni delle aziende fornitrici
F. Punti di intervento
La direttiva prevede che le organizzazioni e le aziende intervengano sui seguenti 10 punti e come passo ulteriore, è fatto obbligo di segnalare tempestivamente gli incidenti informatici e le cristicità annesse sul portale del CSIRT (Computer Security Incident Response Team):
1 – RISK MANAGEMENT
Strutturare politiche di analisi dei rischi e di sicurezza dei sistemi informatici organizzativi
2 – GESTIONE INCIDENTI
Creare piani operativi e procedure standardizzate di gestione degli
incidenti informatici
3 – BUSINESS CONTINUITY
Assicurare la continuità operativa con backup, procedure di crisis response e disaster recovery
4 – SUPPLY CHAIN
Garantire la sicurezza della catena di approvvigionamento, compresi i rapporti con i fornitori
5 – SICUREZZA DEI SISTEMI
Mettere in sicurezza gli asset informatici e di rete in ogni fase, dallo sviluppo alla manutenzione
6 – STRATEGIE CYBER
Creare strategie e procedure per valutare l’efficacia delle misure di contrasto ai rischi di cyber sicurezza
7 – FORMAZIONE
Creare e rispettare pratiche di igiene informatica di base e garantire formazione in materia di cybersecurity
8 – CRITTOGRAFIA
Stabilire politiche e procedure relative all’uso della crittografia e della cifratura per le attività organizzative
9 – SICUREZZA DEL PERSONALE
Garantire la sicurezza informatica per il personale, impostando strategie di controllo dell’accesso e gestione degli operatori
10 – AUTENTICAZIONE A PIÙ FATTORI
Usare soluzioni di autenticazione a più fattori o di autenticazione continua e sistemi di comunicazione protetti
G. Coordinamento Europeo
La direttiva rafforza la cooperazione tra gli Stati membri attraverso un quadro di gestione e risposta congiunta agli incidenti di cybersecurity, aumentando la condivisione delle informazioni e il coordinamento a livello europeo per prevenire e rispondere a minacce informatiche su larga scala.
Conclusione
In sintesi, la NIS2 è un pilastro fondamentale per la cybersecurity in Europa, poiché obbliga le organizzazioni a implementare standard più elevati di sicurezza informatica e a collaborare a livello europeo per affrontare le minacce sempre più sofisticate nel panorama digitale. Infostar, con i suoi partner, è in grado di seguire le sue aziende clienti in questo importante percorso, contatta il nostro staff per un primo incontro gratuito.
Informazioni riprese dall’agenzia di stampa nazionale Dire: