Direttiva NIS 2: strategie essenziali per rafforzare la tua Cybersecurity
Data: 5 Aprile 2024La Direttiva NIS 2 ovvero la Direttiva Ue 2022/2555 sulla sicurezza delle reti e delle informazioni, rappresenta un’evoluzione significativa nella politica di cybersecurity dell’Unione Europea.
Approvata dal Parlamento europeo il 16 gennaio 2023, la Direttiva NIS 2 sostituisce la precedente Direttiva NIS (Direttiva Ue 2016/1148) con l’obiettivo di modernizzare il quadro giuridico esistente a fronte della maggiore digitalizzazione e dell’aumento delle minacce cyber. La scadenza per il recepimento da parte degli Stati membri è fissata al 17 ottobre 2024.
Direttiva NIS 2: i soggetti interessati
Con la Direttiva NIS 2, l’applicazione delle norme di cybersecurity viene ampliata a nuovi settori ed entità, con l’obiettivo di migliorare la resilienza operativa (ovvero la capacità di resistere e recuperare a fronte di eventi improvvisi e/o impattanti) di un numero sempre maggiore di enti pubblici e privati.
La Direttiva NIS 2 si applica alle aziende operanti in settori cosiddetti “essenziali” già definiti dalla precedente Direttiva NIS (energia, trasporti, banche, infrastrutture finanziarie, acqua, sanità e infrastrutture digitali), ma anche a comparti ritenuti “importanti” per criticità (servizi postali, gestione dei rifiuti, industria chimica, alimentare e tecnologica, servizi digitali e ricerca scientifica).
A livello dimensionale, sono interessate dalla NIS 2 solo le aziende medie (almeno 50 dipendenti e fatturato minimo di 10 milioni di euro) e grandi (almeno 250 dipendenti e fatturato minimo di 50 milioni).
I requisiti fondamentali della NIS 2
La Direttiva NIS 2 si inserisce nel più ampio contesto normativo europeo per la cybersecurity, che include ad esempio GDPR (General Data Protection Regulation), DORA (Digital Operational Resilience Act) e Cyber Resilience Act, aumentandone la potenza di fuoco.
Nello specifico, la Direttiva NIS 2 prevede una serie di misure giuridiche volte a migliorare la capacità di resistere alle minacce cyber, spingendo principalmente su quattro punti:
- Gestione: il top management deve essere consapevole e responsabilizzato sulla necessità di gestire i rischi informatici e raggiungere gli obiettivi di compliance;
- Notifica degli incidenti: le aziende devono dotarsi di processi strutturati per la segnalazione degli incidenti alle autorità competenti;
- Risk Management: le imprese devono adottare approcci e strumenti per minimizzare i rischi cyber e relativi impatti, migliorando ad esempio la capacità di incident response, la security posture o la valutazione delle terze parti in base ai requisiti di sicurezza;
- Business Continuity: le organizzazioni devono prevedere procedure per garantire la continuità operativa in caso di incidente, istituendo ad esempio protocolli per il ripristino del sistema e la gestione delle emergenze.
Come prepararsi alla conformità della NIS 2
Per prepararsi alla compliance normativa, le aziende pertanto dovrebbero implementare una serie di strategie per rafforzare la postura di sicurezza e la capacità di resilienza. Le seguenti iniziative potrebbero rappresentare un buon punto di partenza per muovere i primi passi.
- Conoscenza normativa – Per iniziare con il piede giusto, la mossa fondamentale è comprendere in dettaglio la Direttiva NIS 2, il perimetro di applicazione e gli impatti sull’organizzazione.
- Gestione del rischio – Le organizzazioni dovrebbero quindi implementare un processo continuo di identificazione, valutazione e trattamento dei rischi IT, tenendo conto delle minacce emergenti e effettuando una valutazione approfondita delle terze parti.
- Misure tecniche e organizzative – L’implementazione di processi e tecnologie per la protezione di sistemi, reti e dati, che includano anche procedure di access management, backup e recovery, è fondamentale.
- Rilevamento e segnalazione – Altrettanto importante, è l’istituzione di procedure efficaci per la rilevazione degli incidenti informatici e la notifica tempestiva alle autorità.
- Formazione e awareness – Il fattore umano ha un peso decisivo nelle strategie di cybersecurity e pertanto andranno organizzate iniziative per aumentare la conoscenza e la consapevolezza dei dipendenti sul tema.
- Collaborazione e data sharing – Poiché la Direttiva incoraggia la cooperazione e lo scambio di informazioni in materia di sicurezza, sarebbe bene adottare piattaforme che facilitino la condivisione dei dati tra aziende e autorità, oltre a partecipare a iniziative di collaborazione.
- Revisione e aggiornamento – Poiché la cybersecurity è un campo in rapida evoluzione, le organizzazioni dovrebbero rivedere e affinare regolarmente le misure adottate per adattarsi alle nuove normative e minacce.
- Risposta agli Incidenti – Infine, oltre a prevenire i rischi, le aziende dovrebbero essere preparate in caso di incidente, definendo e testando regolarmente un piano di risposta, istituendo un team di pronto intervento, strutturando una strategia di continuità operativa.