Negli ultimi cinque anni, il numero di attacchi registrati a livello globale è cresciuto del 60% generando impatti molto gravi su aziende e organizzazioni. L’intensificarsi degli attacchi alle infrastrutture critiche ha spinto i legislatori europei a stabilire piani su come gestire i rischi, controllare e sorvegliare le attività. La direttiva europea NIS2 (Network and Information Security) rappresenta un nuovo passo nella politica di sicurezza informatica dell’Unione.
Adottata per rafforzare la resilienza e la capacità di risposta degli Stati membri di fronte a incidenti informatici, NIS2 mira a sostituire e ampliare il precedente regolamento NIS, introducendo requisiti più stringenti e un ambito di applicazione più ampio.
Di fatto il regolamento NIS2 estende in modo significativo l’ambito di applicazione del precedente regolamento, coinvolgendo una gamma più ampia di settori. Questa espansione mira a garantire un livello più elevato di sicurezza della rete e dei sistemi informativi nell’Unione Europea. Il regolamento è entrato in vigore il 17 gennaio 2023, e dovrà essere recepito dai singoli Stati entro il 17 ottobre 2024.
Ambito di applicazione
NIS2 si applica a un numero maggiore di settori rispetto al suo predecessore. Oltre a quelli già coperti dal NIS, come energia, trasporti, salute e servizi finanziari, il NIS2 si estende a settori come servizi postali, gestione dei rifiuti, produzione e distribuzione di alimenti, e molti altri.
Di fatto la nuova direttiva tiene in considerazione non solo le aziende principalmente interessate ma l’intera catena di approvvigionamento. La direttiva interessa medie organizzazioni (50-250 dipendenti), grandi organizzazioni (più di 250 dipendenti). Sono escluse le aziende con meno di 50 dipendenti o con un fatturato annuo inferiore a 10 milioni di euro, attenzione però: se le aziende sono ritenute di importanza critica per la società che forniscono (supply chain) dovranno comunque soddisfare requisiti di cybersicurezza più severi, oltre agli obblighi di comunicazione relativa ad eventuali attacchi.
Ovviamente i requisiti richiesti varieranno in base alle dimensioni dell’azienda, alla funzione e ai rischi di esposizione, tutto questo per evitare che le imprese più piccole siano colpite in modo sproporzionato da costi aggiuntivi.
Entità coinvolte da NIS2
La direttiva comprende gli operatori di servizi definiti come essenziali e importanti, include quindi le aziende che operano in settori considerati vitali per il mantenimento delle funzioni sociali ed economiche critiche e coinvolge le aziende che fanno parte della catena di approvvigionamento.
- Energia: elettricità, gas, e petrolio.
- Trasporti: servizi aerei, marittimi, ferroviari e stradali.
- Acque: aziende che si occupano della fornitura e distribuzione di acqua e della gestione delle acque di scarico
- Sanità: ospedali, produttori di dispositivi medici, e altri servizi sanitari essenziali.
- Infrastrutture digitali: centri di dati, fornitori di servizi cloud, e piattaforme di scambio digitale, motori di ricerca
- Servizi postali e di corriere
- Settore bancario e finanziario
- Gestione dei rifiuti
- Produzione, trasformazione e distribuzione di alimenti (inclusa anche la grande distribuzione)
- Produzione e distribuzione di prodotti chimici
- Industria manifatturiera per prodotti considerati essenziali per la salute, la sicurezza e l’economia.
- Ricerca scientifica
- Pubblica amministrazione: benché il focus di NIS2 sia il settore privato, alcune entità pubbliche, in particolare quelle che forniscono servizi essenziali sono soggette alla nuova regolamentazione.
Le aziende interessate da NIS2 dovranno valutare e, se necessario, adeguare le proprie politiche e procedure di sicurezza per conformarsi ai nuovi requisiti. Questo potrebbe comportare investimenti in tecnologie di sicurezza, formazione del personale e processi di governance. Inoltre, la cultura della sicurezza informatica dovrà diventare una componente centrale della strategia aziendale, richiedendo un impegno a tutti i livelli dell’organizzazione.
NIS2 è stata formulata per integrarsi con altre normative e linee guida europee in materia di protezione dei dati e privacy, principalmente con GDPR (General Data Protection Regulation) e DORA (Digital Operational Resilience Act).
Adeguare le aziende
Per prima cosa è necessario comprendere la portata della direttiva e quanto coinvolge l’azienda. Definito il grado di coinvolgimento è di fondamentale importanza l’implementazione di un sistema per la valutazione e la gestione del rischio che includa sia le minacce cyber che le vulnerabilità interne. Questo implica l’analisi delle infrastrutture IT, l’aggiornamento dei protocolli di sicurezza e la formazione del personale.
L’adozione di misure adeguate per garantire la sicurezza delle reti e dei sistemi informativi è cruciale. Ciò include la sicurezza IT e la protezione dei dati. Inoltre, è essenziale sviluppare una strategia di risposta agli incidenti, che permetta un’azione rapida ed efficace in caso di violazioni della sicurezza.
La direttiva NIS2 impone requisiti rigorosi in termini di notifica degli incidenti e di reportistica. Le aziende devono assicurarsi di avere procedure chiare ed efficienti per raccogliere, gestire e comunicare le informazioni relative agli incidenti di sicurezza.
L’adeguamento alla NIS2 è un processo continuo: le minacce si evolvono e anche le difese devono farlo. Un impegno costante nel monitoraggio, nella valutazione del rischio e nell’aggiornamento delle misure di sicurezza è essenziale per mantenere la conformità nel tempo.
Hypergrid offre consulenza specializzata per verificare la conformità della vostra azienda ai requisiti della nuova direttiva, e fornisce servizi su misura in ambiti cruciali come cybersecurity, cloud, Security Data Recorder e Disaster Recovery, per soddisfare pienamente le esigenze dei clienti.
Per maggiori informazioni: 0382 528875
Devi effettuare l'accesso per postare un commento.