DIRETTIVA NIS2: IN VIGORE DAL 28 FEBBRAIO

Il 16 ottobre 2024 è entrato in vigore in Italia il d.lgs. 138/2024, che recepisce la Direttiva UE 2022/2555 (NIS 2), ridefinendo le regole per la sicurezza delle reti e dei sistemi informativi

LE NOVITA’

  • Estensione del campo di applicazione: la direttiva include ora nuovi settori.

  • Identificazione dei soggetti, distinti tra essenziali e importanti: vengono identificati in maniera automatica sulla base di criteri oggettivi, includendo nell’ambito di applicazione tutti i soggetti riconducibili alle specifiche tipologie individuate dalla normativa.

  • Obblighi stringenti per la cybersecurity: viene introdotto l’obbligo di rispondere a requisiti minimi di sicurezza per la protezione delle informazioni e sistemi di monitoraggio più efficaci e viene introdotto un processo di notifica degli incidenti.

  • Sanzioni elevate: vengono rafforzati i poteri di esecuzione, ispettivi e sanzionatori e le Organizzazioni che non si adeguano possono affrontare pesanti multe e sanzioni amministrative.

  • Cooperazione internazionale: viene promosso uno scambio di informazioni più efficiente tra gli stati membri, migliorando la capacità di rispondere rapidamente a minacce transnazionali e una divulgazione coordinata delle vulnerabilità.

SETTORI E SOGGETTI DELL’AMBITO DI APPLICAZIONE

La norma si applica a soggetti pubblici e privati delle tipologie elencate negli allegati I, II, III e IV del D.Lgs. 138/2024.

La maggior parte dei soggetti sono identificati sulla base di un criterio dimensionale e un criterio settoriale.

I soggetti essenziali sono le Organizzazioni che esercitano un’attività strategica per la società, per l’economia o per la sicurezza nazionale , mentre i soggetti importanti includono le Organizzazioni che forniscono servizi la cui mancanza potrebbe comportare gravi problemi sociali.

LA DIRETTIVA NIS2 E LA PROTEZIONE DELLA PRIVACY

Uno dei temi centrali nella Direttiva NIS2 è la protezione della riservatezza dei dati. Nel contesto europeo, questo è particolarmente rilevante data la presenza del GDPR, il regolamento generale sulla protezione dei dati.

CORRELAZIONI TRA GDPR E DIRETTIVA NIS2

  • protezione dei dati personalii: la NIS2 enfatizza la necessità di proteggere i dati da accessi non autorizzati, mirando di conseguenza a ridurre al minimo i rischi di violazione della privacy;

  • integrità e disponibilità dei dati: le aziende sono tenute a garantire che le informazioni personali non siano alterate, compromesse o distrutte a seguito di un attacco;

  • il rispetto della normativa sulla privacy è cruciale, soprattutto per le Organizzazioni che gestiscono grandi volumi di dati personali. Le implicazioni per la privacy sono significative, in quanto le violazioni della sicurezza possono avere conseguenze più gravi per le aziende, che devono assicurare la conformità a entrambe le normative.

PRINCIPALI OBBLIGHI PER LE AZIENDE

  • assessment su eventuale applicazione e per individuare lo stato dell’arte delle proprie misure di sicurezza;

  • registrazione o aggiornamento sulla piattaforma digitale resa disponibile da ACN (Autorità Nazionale Competente NIS);

  • approvazione di un programma di misure di sicurezza da parte degli organi amministrativi e direttivi; formazione in materia di sicurezza informatica a tutto il personale; adozione del programma di cyber security definito.

MISURE CONSIGLIATE PER LE ORGANIZZAZIONI

  • implementazione di Sistemi di Monitoraggio Avanzati: utilizzare strumenti leader del mercato che eventualmente si avvalgono anche di intelligenza artificiale per monitorare le reti e rilevare le minacce in tempo reale;

  • formazione del Personale: le aziende devono investire nella formazione dei dipendenti, garantendo una comprensione profonda delle minacce quotidiane;

  • audit e Valutazione dei Rischi: condurre audit regolari per valutare la conformità e l’efficacia delle misure di sicurezza adottate;

  • trasparenza e Documentazione: mantenere una documentazione dettagliata delle pratiche di sicurezza e delle misure di protezione per dimostrare la conformità in caso di controlli.

GLI ELEMENTI FONDAMENTALI DELLA NIS2

1.GOVERNANCE

Il management deve avere un ruolo proattivo nella gestione dei rischi: risk strategy, misure di trattamento (eliminazione, mitigazione, trasferimento, accettazione), supervisione e collaborazione con autorità e terze parti. Questo prevede l’assegnazione di responsabilità (risk ownership) e definizione di processi (controlli di primo, secondo e terzo livello) che renda evidente leadership e commitment.

2. RISK MANAGEMENT CON APPROCCIO MULTIRISCHIO

Nel valutare i rischi, l’organizzazione dovrà considerare non soltanto quelli strettamente connessi al sistema informativo (integrità, disponibilità e riservatezza), ma anche quelli relativi alla gestione degli incidenti, alla continuità operativa, all’approvvigionamento e alla manutenzione, nonché quelli riconducibili alla catena di fornitura, al fattore umano e alle misure di sicurezza fisica.

3. SUPPLY CHAIN RISK E SECURITY MANAGEMENT

La NIS 2 concentra la sua attenzione sulla supply chain, considerata – assieme al fattore umano – l’elemento più vulnerabile della catena, così come testimoniato dai sempre più numerosi attacchi, il cui effetto domino ha portato all’indisponibilità di servizi critici. Si pone dunque la necessità di determinare criteri di affidabilità del fornitore, valutandone il rischio e richiedendo adeguate misure di mitigation e garanzie in termini di sicurezza delle informazioni e business continuity, per poi monitorarlo anche attraverso audit .

4. INCIDENT E CRISIS MANAGEMENT

Le aziende dovranno avere una capacità reattiva 

5. AWARENESS E FORMAZIONE

Poiché il fattore umano rimane il rischio più complesso da gestire, appare evidente come l’impegno dell’organizzazione nei confronti di campagne informative e percorsi formativi assuma un carattere cruciale: formazione che non dovrà limitarsi ad aspetti teorici ma che dovrà entrare nel merito delle policy, processi e procedure di gestione del rischio, della sicurezza e della continuità operativa, sino ad arrivare alla gestione di incident e crisi. Si consiglia, a tal proposito, ddi adottare modelli didattici ad elevato valore aggiunto quali simulazioni e role play che possano mettere le persone nelle condizioni di simulare scenari basati su case study realistici.

Appare evidente, rispetto a quanto sopra indicato, che i pilastri indicati trovino largo riscontro nella ISO 27001 . Se è dunque vero che le organizzazioni già certificate ai sensi di queste norme non dovrebbero riscontrare eccessive difficoltà a rispettare gli standard di sicurezza indicati dalla NIS 2, potrebbe invece risultare vincente – per le realtà che ancora non si sono dotate di un sistema di gestione – iniziare un percorso di avvicinamento alla certificazione, così da consolidare la propria struttura organizzativa e, al contempo, fornire le migliori garanzie di affidabilità ai propri clienti.

Studio Ares è a disposizione per supportarti in questi adempimenti: contattaci!

Novit�, Privacy, Sistemi di GestioneVittorio Campionestudio arescybersecurity, privacy, nis2