La Direttiva NIS 2 è entrata in vigore a gennaio 2023, e gli Stati Membri avranno tempo fino al 17 ottobre 2024 per recepire le sue disposizioni nel diritto nazionale. Infatti, contrariamente ai Regolamenti (come il GDPR), la Direttiva ha bisogno di essere ratificata e recepita dagli Stati.

Un Rimedio ai Limiti della Precedente Direttiva

Lo scopo della Direttiva NIS 2 è superare i limiti della precedente, ampliando di molto l’ambito di applicazione.

La Direttiva NIS (Network and Information Security) originale, sebbene pionieristica, ha mostrato ben presto i suoi limiti, in particolare riguardo alla portata e all’efficacia dell’esperimento normativo. La NIS 2 cerca quindi di porre rimedio a queste lacune, estendendo l’ambito di applicazione a un numero maggiore di settori e imponendo requisiti più severi e dettagliati per garantire la sicurezza delle informazioni, delle reti e dei sistemi.

La NIS 2 si applicherà a tutti i settori della precedente NIS (Energia, Salute, Acquedotti, Infrastrutture digitali, Settore finanziario e bancario, Trasporti) più i seguenti:

Un Approccio Basato sul Multirischio

La novità più significativa introdotta dalla Direttiva NIS 2 risiede nel suo approccio basato sul multirischio, come delineato nell’Articolo 21. Questo approccio richiede che i soggetti a cui si applica la direttiva adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi e delle reti informatiche. Inoltre, devono essere preparati a prevenire o ridurre al minimo l’impatto degli incidenti, non solo per i destinatari dei loro servizi ma anche per l’intero ecosistema digitale in cui operano.

Le Misure di Governance della Cybersicurezza

Le disposizioni della Direttiva NIS 2 delineano un ampio spettro di misure di governance della cybersicurezza, che comprendono:

• Politiche di analisi dei rischi e di sicurezza dei sistemi informatici: un impegno continuo nell’identificazione, valutazione e trattamento dei rischi per la sicurezza.
• Politiche di gestione degli incidenti: procedure chiare e efficaci per rilevare, rispondere e recuperare da incidenti di sicurezza.
• Continuità operativa: strategie per assicurare che le operazioni critiche possano continuare o essere ripristinate rapidamente in caso di interruzioni maggiori, incluso il backup dei dati, il disaster recovery e il crisis management.
• Sicurezza della catena di approvvigionamento: misure per garantire che i partner e i fornitori rispettino standard di sicurezza adeguati.
• Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi ICT e di rete: enfasi sulla sicurezza fin dalle prime fasi dello sviluppo dei sistemi e durante tutto il loro ciclo di vita.
• Valutazione dell’efficacia delle misure di mitigazione: strategie e procedure per testare e valutare l’efficacia delle misure di sicurezza adottate.
• Pratiche di igiene informatica di base e formazione in materia di cybersicurezza: programmi di formazione e consapevolezza per i dipendenti su pratiche di sicurezza essenziali.
• Politiche e procedure per l’uso di crittografia: l’adozione di standard crittografici forti per proteggere dati sensibili e comunicazioni.
• Sicurezza delle risorse umane e strategie di controllo degli accessi: misure per assicurare che solo il personale autorizzato possa accedere a informazioni critiche.
• Uso di soluzioni di autenticazione multifattore o di autenticazione continua: l’implementazione di metodi di autenticazione robusti per mitigare il rischio di accessi non autorizzati.

Metti in primo piano la sicurezza

Per le realtà a cui si rivolge la NIS 2, e per i loro fornitori, l’adeguamento a questa nuova realtà non è solo un obbligo legale ma un’opportunità per rafforzare la propria postura di sicurezza in un mondo sempre più interconnesso e dipendente dalle tecnologie digitali.

Contattaci oggi per avere al tuo fianco una squadra di esperti di cybersecurity che può sostenerti sia nella cura della governance che in attività di formazione e analisi tecnica delle vulnerabilità dei sistemi.

L'articolo La Direttiva NIS 2: le novità per la aziende dell’Unione Europea proviene da Netpatrol.