NIS2 Compliance La vostra organizzazione è pronta per essere conforme a NIS2? La Direttiva NIS2 mira ad aumentare il livello di sicurezza informatica nell'UE, imponendo nuovi requisiti di sicurezza informatica alle organizzazioni di molti settori. Le aziende interessate devono iniziare a valutare la propria conformità e colmare eventuali gap, anche in considerazione del fatto che il mancato rispetto della NIS2 può comportare una sanzione amministrativa fino a 10 milioni di euro o il 2% del totale dei ricavi annuali globali (per i soggetti essenziali). Che cosa è la NIS2? La Direttiva Network & Information System (NIS2) è focalizzata sull'aumento della sicurezza informatica nell'Unione Europea (UE) e contribuisce a definire il futuro digitale dell'UE. Un'attenzione particolare è stata data alla risposta agli incidenti di sicurezza informatica, con obblighi di segnalazione per incidenti significativi e condivisione di queste informazioni tra i Cyber Security Incident Response Team (CSIRT) degli Stati membri dell'UE per prevenirli e contenerne gli impatti.La NIS2, entrata in vigore il 17 gennaio 2023, sostituisce la versione precedente (NIS). Tra gli obiettivi principali rientrano il potenziamento della resilienza delle infrastrutture critiche e la promozione della cooperazione tra gli Stati Membri. La Direttiva mira altresì a garantire una risposta transfrontaliera coordinata alle minacce informatiche e ad aumentare la trasparenza e la responsabilità nelle organizzazioni considerate critiche.La Commissione Europea ha concordato sanzioni significative per le organizzazioni che non rispettano i requisiti previsti dalla NIS2, che possono arrivare fino a 10 milioni di euro o il 2% del fatturato annuo totale globale e la potenziale sospensione dell’AD e/o del rappresentante legale dell’impresa per i settori essenziali, o 7 milioni di euro o l'1,4% del fatturato annuo totale per i settori importanti. A quali settori si applica la NIS2 I settori nell'ambito della NIS2 sono divisi in due gruppi - essenziali e importanti:La NIS2 si applica a un numero maggiore di settori rispetto alla NIS. Essa si applica anche alle organizzazioni al di fuori dell'UE se forniscono servizi essenziali o importanti all'interno dell'UE. Inoltre, anche i fornitori (IT) delle organizzazioni che rientrano nell’ambito di applicazione di NIS2 dovranno conformarsi ai requisiti, essendo parte delle catene di approvvigionamento. Quali sono i requisiti chiave di NIS2? La direttiva NIS2 stabilisce una direzione generale per i requisiti di gestione del rischio di sicurezza informatica e sono in fase di sviluppo requisiti più dettagliati. Gli impatti più rilevanti sono nei seguenti ambiti:Valutazione del rischio e politiche di sicurezzaGestione degli incidentiContinuità aziendale, disaster recovery e gestione delle crisiSicurezza della catena di approvvigionamentoSicurezza nello sviluppo e nella manutenzione dei sistemiPolitiche e procedure di assessment di sicurezzaFormazione e awareness (anche del board)Politiche e procedure di cifraturaSicurezza delle risorse umane, controllo degli accessi e gestione degli assetObblighi di segnalazioneUno dei nuovi requisiti è la responsabilità per il board di supervisionare, approvare e monitorare le misure di gestione del rischio di cyber security. Il board deve essere formato sulla cyber security e può essere ritenuto (personalmente) responsabile nel caso in cui l'organizzazione non soddisfi i requisiti della NIS2.Un altro importante requisito è la segnalazione di incidenti di sicurezza rilevanti verso le autorità di vigilanza, che deve avvenire entro 24 ore dal momento in cui si viene a conoscenza di un incidente significativo. Entro 72 ore deve inoltre essere fornito un report dell’incidente, seguito da un report finale un mese dopo. Inoltre, i clienti finali devono essere informati dell’incidente e devono ricevere indicazioni su come proteggersi da eventuali minacce legate all'incidente stesso. Come possiamo supportare?Le organizzazioni devono iniziare a valutare la propria conformità e a porre rimedio a eventuali lacune. Protiviti può supportare fornendo:Formazione ed awareness sulla NIS2 a tutti i livelli aziendali, incluso il board: per far sì che l’organizzazione e in particolare i membri del board comprendano gli obblighi derivanti dalla NIS2 e l'importanza della compliance per l'organizzazione.Assessment rispetto alla NIS2: per determinare le lacune di compliance dell'organizzazione rispetto ai requisiti NIS2 e la roadmap di adeguamento.Implementazione di quanto previsto dalla NIS2: per rimediare alle lacune di compliance dell’organizzazione e implementare i necessari processi di controllo e gestione, anche mediante strumenti di GRC.Sviluppo di un framework di controllo integrato: per aiutare l’organizzazione a soddisfare i requisiti di sicurezza delle diverse normative in modo efficiente ed efficace, utilizzando un framework di controllo integrato, per soddisfare la conformità a NIS2, PSNC, DORA, ISO27001, GDPR, PCI-DSS e altri. I nostri team sono composti da esperti professionisti della sicurezza che possono aiutarvi in questo percorso e a rendere la vostra organizzazione conforme ai requisiti della Direttiva NIS2. Leadership Enrico Ferretti Enrico è Managing Director responsabile dei servizi di consulenza di Cybersecurity, Strategia e la Governance ICT, Cloud Transformation e Business Continuity & Crisis Management. Ha maturato oltre 25 anni di esperienza professionale, lavorando anche in Accenture, ... Scopri di più