NIS2 Compliance

NIS2 Compliance

La vostra organizzazione è pronta per essere conforme a NIS2?
La Direttiva NIS2 mira ad aumentare il livello di sicurezza informatica nell'UE, imponendo nuovi requisiti di sicurezza informatica alle organizzazioni di molti settori. Le aziende interessate devono iniziare a valutare la propria conformità e colmare eventuali gap, anche in considerazione del fatto che il mancato rispetto della NIS2 può comportare una sanzione amministrativa fino a 10 milioni di euro o il 2% del totale dei ricavi annuali globali (per i soggetti essenziali).

Che cosa è la NIS2?

La Direttiva Network & Information System (NIS2) è focalizzata sull'aumento della sicurezza informatica nell'Unione Europea (UE) e contribuisce a definire il futuro digitale dell'UE. Un'attenzione particolare è stata data alla risposta agli incidenti di sicurezza informatica, con obblighi di segnalazione per incidenti significativi e condivisione di queste informazioni tra i Cyber Security Incident Response Team (CSIRT) degli Stati membri dell'UE per prevenirli e contenerne gli impatti.

La NIS2, entrata in vigore il 17 gennaio 2023, sostituisce la versione precedente (NIS). Tra gli obiettivi principali rientrano il potenziamento della resilienza delle infrastrutture critiche e la promozione della cooperazione tra gli Stati Membri. La Direttiva mira altresì a garantire una risposta transfrontaliera coordinata alle minacce informatiche e ad aumentare la trasparenza e la responsabilità nelle organizzazioni considerate critiche.

La Commissione Europea ha concordato sanzioni significative per le organizzazioni che non rispettano i requisiti previsti dalla NIS2, che possono arrivare fino a 10 milioni di euro o il 2% del fatturato annuo totale globale e la potenziale sospensione dell’AD e/o del rappresentante legale dell’impresa per i settori essenziali, o 7 milioni di euro o l'1,4% del fatturato annuo totale per i settori importanti.

Sectors to which NIS2 applies

A quali settori si applica la NIS2

I settori nell'ambito della NIS2 sono divisi in due gruppi - essenziali e importanti:

La NIS2 si applica a un numero maggiore di settori rispetto alla NIS. Essa si applica anche alle organizzazioni al di fuori dell'UE se forniscono servizi essenziali o importanti all'interno dell'UE. Inoltre, anche i fornitori (IT) delle organizzazioni che rientrano nell’ambito di applicazione di NIS2 dovranno conformarsi ai requisiti, essendo parte delle catene di approvvigionamento.

Key requirements of NIS2

Quali sono i requisiti chiave di NIS2?

La direttiva NIS2 stabilisce una direzione generale per i requisiti di gestione del rischio di sicurezza informatica e sono in fase di sviluppo requisiti più dettagliati. Gli impatti più rilevanti sono nei seguenti ambiti:

  • Valutazione del rischio e politiche di sicurezza
  • Gestione degli incidenti
  • Continuità aziendale, disaster recovery e gestione delle crisi
  • Sicurezza della catena di approvvigionamento
  • Sicurezza nello sviluppo e nella manutenzione dei sistemi
  • Politiche e procedure di assessment di sicurezza
  • Formazione e awareness (anche del board)
  • Politiche e procedure di cifratura
  • Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset
  • Obblighi di segnalazione

Uno dei nuovi requisiti è la responsabilità per il board di supervisionare, approvare e monitorare le misure di gestione del rischio di cyber security. Il board deve essere formato sulla cyber security e può essere ritenuto (personalmente) responsabile nel caso in cui l'organizzazione non soddisfi i requisiti della NIS2.

Un altro importante requisito è la segnalazione di incidenti di sicurezza rilevanti verso le autorità di vigilanza, che deve avvenire entro 24 ore dal momento in cui si viene a conoscenza di un incidente significativo. Entro 72 ore deve inoltre essere fornito un report dell’incidente, seguito da un report finale un mese dopo. Inoltre, i clienti finali devono essere informati dell’incidente e devono ricevere indicazioni su come proteggersi da eventuali minacce legate all'incidente stesso.

Key requirements of NIS2

Come possiamo supportare?

Le organizzazioni devono iniziare a valutare la propria conformità e a porre rimedio a eventuali lacune. Protiviti può supportare fornendo:

  • Formazione ed awareness sulla NIS2 a tutti i livelli aziendali, incluso il board: per far sì che l’organizzazione e in particolare i membri del board comprendano gli obblighi derivanti dalla NIS2 e l'importanza della compliance per l'organizzazione.
  • Assessment rispetto alla NIS2: per determinare le lacune di compliance dell'organizzazione rispetto ai requisiti NIS2 e la roadmap di adeguamento.
  • Implementazione di quanto previsto dalla NIS2: per rimediare alle lacune di compliance dell’organizzazione e implementare i necessari processi di controllo e gestione, anche mediante strumenti di GRC.
  • Sviluppo di un framework di controllo integrato: per aiutare l’organizzazione a soddisfare i requisiti di sicurezza delle diverse normative in modo efficiente ed efficace, utilizzando un framework di controllo integrato, per soddisfare la conformità a NIS2, PSNC, DORA, ISO27001, GDPR, PCI-DSS e altri.

I nostri team sono composti da esperti professionisti della sicurezza che possono aiutarvi in questo percorso e a rendere la vostra organizzazione conforme ai requisiti della Direttiva NIS2.

Loading...