Tutte le notizie

Notizia del: 02-11-2023

NIS2: nuovi obblighi in arrivo per la CyberSecurity

COS’È?

NIS2 è una direttiva dell’Unione Europea (Network and Information Security Directive), entrata in vigore il 17 gennaio 2023. Si propone di creare una strategia di cybersecurity comune a tutti gli stati membri, con l’obiettivo di aumentare e rafforzare i livelli e le misure di sicurezza dei servizi digitali in tutta l’area UE. La direttiva va ad integrarsi con le varie normative e linee guida europee in tema di protezione dati e privacy.

Trattandosi di una direttiva, ogni Stato Membro dovrà sviluppare un piano nazionale per la sicurezza digitale e team specializzati dedicati entro il 18 ottobre 2024.

CHE IMPATTO AVRÀ?

L’impatto sulle aziende sarà significativo, poiché la direttiva introduce per le aziende pubbliche e private l’obbligo di adottare misure di sicurezza digitali più rigorose. A titolo esemplificativo, alcune categorie di aziende interessate sono quelle che si occupano di ricerca, servizi sanitari, trasporti, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, di alimenti, di dispositivi medici, di apparecchiature elettriche, di macchinari e altre apparecchiature.

COSA FARE PER ADEGUARSI ALLA DIRETTIVA?

I soggetti obbligati dovranno adottare misure tecniche, operative ed organizzative adeguate e proporzionate per gestire i rischi inerenti alla sicurezza dei sistemi informatici, per prevenire o ridurre al minimo l’impatto degli incidenti. Alcuni step fondamentali da introdurre sono: 
  • l’analisi dei rischi per la sicurezza dei sistemi IT
    Vulnerability Assessment per asset e comportamenti
  • la messa in atto delle misure correttive atte a ridurre i rischi emersi
    Adeguamento dell’infrastruttura IT e delle policy aziendali
    Best practice e formazione in materia di sicurezza informatica
  • l’approccio proattivo, monitorando ed aggiornando i sistemi IT
    Remote Monitoring degli asset
    Audit periodici da parte di consulenti specializzati
    Test di ripristino da backup periodici
  • gestione degli incidenti per la continuità operativa (resilienza)
    Creazione di un piano di Incidente Response
    Creazione di un Data Breach Recovery Plan
  • Creazione di un piano di Disaster Recovery
    Rispristino operativo in caso di attacchi informatici, guasto hardware o calamità naturali

QUALI SANZIONI SONO PREVISTE PER IL MANCATO ADEGUAMENTO?

Sono previste sanzioni di natura amministrativa o penale, la cui entità dipende dalla tipologia di operatore (essenziale o importante): gli operatori essenziali potranno essere sottoposti a sanzioni pecuniarie amministrative pari a un massimo di € 10 Milioni o il 2% del fatturato globale, mentre gli operatori importanti potranno essere soggetti a sanzioni pari a un massimo di € 7 Milioni o a fino ad un massimo del 1,4 % del fatturato globale.
 

CONCLUSIONI

Per dare la possibilità di adeguarsi alla direttiva NIS2, Gescad metterà a disposizione le proprie competenze e soluzioni, proponendo eventi divulgativi sul territorio e incontri 1 to 1, grazie ai quali definire una road map personalizzata in base alle specifiche esigenze di ciascuna realtà aziendale.