NIS2 la nuova normativa e i 10 requisiti. Sei pronto per un approccio continuo alla gestione della Cybersecurity?

I settori critici indicati dalla NIS2 sono molti e potresti dover adeguare anche la tua azienda.

Le norme dell'UE in materia di cybersicurezza introdotte nel 2016 sono state aggiornate dalla direttiva NIS2, entrata in vigore il 17 gennaio 2023 e dovrà essere recepita nelle legislazioni nazionali degli Stati membri dell’UE entro il prossimo 18 ottobre 2024

Oltre che agli operatori privati dei settori ritenuti “essenziali” dall’Unione Europea, ovvero quelli dell’energia, dei trasporti, delle banche, delle infrastrutture dei mercati finanziari, dell’acqua potabile, della sanità e delle infrastrutture digitali (che comunque rimarranno soggetti alla Direttiva NIS fino alla sua abrogazione), la NIS2 si applicherà anche ai fornitori di servizi digitali che operano nei seguenti settori, anch’essi ormai essenziali:

  • e-commerce;
  • motori di ricerca;
  • cloud computing;
  • gestione dei servizi ICT, della pubblica amministrazione e dello spazio.

Inoltre, con la Direttiva NIS2 il legislatore europeo ha elencato anche “altri settori critici” includendovi i seguenti:

  • i servizi postali e di corriere;
  • la gestione dei rifiuti;
  • la fabbricazione, la produzione e la distribuzione di sostanze chimiche;
  • la produzione, la trasformazione e la distribuzione di alimenti;
  • la fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;
  • la fabbricazione di computer e prodotti di elettronica e ottica;
  • la fabbricazione di apparecchiature elettriche;
  • la fabbricazione di macchinari e apparecchiature n.c.a.;
  • la fabbricazione di autoveicoli, rimorchi e semirimorchi;
  • la fabbricazione di altri specifici mezzi di trasporto;
  • i fornitori di servizi digitali;
  • le organizzazioni di ricerca.

Viene adottato il criterio della dimensione del soggetto da ritenere come essenziale o importante. si applicherà a tutti quei soggetti pubblici o privati compresi nelle tipologie “alta criticità” o “altri settori critici” che:

  • prestano i loro servizi o svolgano le loro attività all’interno dell’Unione;
  • sono considerati medie imprese ai sensi all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE, o che superino i massimali per le medie imprese di cui al paragrafo 1 del medesimo articolo.

Si applicherà anche ad altre tipologie di soggetti quali i fornitori di reti di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, quelli che forniscono servizi di registrazione dei nomi di dominio e anche alcuni enti della pubblica amministrazione. Infine, rientreranno nel perimetro di applicazione della direttiva anche i soggetti definiti “critici” dalla Direttiva (UE) 2022/2557, meglio nota come Direttiva CER, pubblicata anch’essa insieme alla NIS2.

Misure di gestione del rischio che vengono chiaramente elencate dall’articolo 21, punto 2, e che comprendono:

  1. politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
  2. gestione degli incidenti;
  3. continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
  4. sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
  5. sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
  6. strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cyber sicurezza;
  7. pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
  8. politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
  9. sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
  10. uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Molto importante è anche definire un Data Breach Recovery Plan.
La normativa prevede che, in caso di incidente significativo, si debba rispettare un iter di notifica alle autorità competenti organizzato in più fasi, il quale iter prevede la trasmissione di:

  • un preallarme entro 24 ore da quando si è venuti a conoscenza dell’incidente;
  • una notifica entro 72 ore dalla conoscenza dell’incidente, che aggiorni – se necessario – le informazioni del preallarme;
  • una relazione finale entro un mese dalla trasmissione della notifica, il cui contenuto minimo sarà dettagliato dal legislatore dello stato membro in fase di recepimento.

La Direttiva NIS2 richiede un approccio continuo alla gestione della Cybersecurity, mediante la definizione di obiettivi chiari e il monitoraggio costante dei risultati ottenuti.

 

Alcuni articoli:

https://www.agendadigitale.eu/sicurezza/litalia-si-allinea-alla-nis-2-ecco-le-nuove-norme-per-la-sicurezza-informatica/

https://www.agendadigitale.eu/sicurezza/nis-2-ce-ce-nel-decreto-italiano-sanzioni-obblighi-e-incognite/

Contenuti simili
DIGITAL ENTERPRISE
NIS2 Adempimenti
Aug 25, 2024
NIS2 la nuova normativa e i 10 requisiti. Sei pronto per un approccio continuo alla gestione della Cybersecurity?

Sei pronto per la NIS2? La direttiva, entrata in vigore il 17 gennaio 2023, dovrà essere recepita nelle legislazioni nazionali degli Stati membri dell’UE entro il prossimo 18 ottobre 2024.

DIGITAL ENTERPRISE
Aug 25, 2024
DORA. Cos'è il Digital Operational Resilience Act e chi deve adeguarsi?

Il Digital Operational Resilience Act (DORA) è un regolamento destinato a trasformare la gestione del rischio digitale nel settore finanziario dell'Unione Europea (UE). DORA mira a rafforzare la sicurezza IT di banche, compagnie assicurative, società di investimento e aziende del mondo finanziario. Se sei tra queste leggi attentamente l'articolo.