NEWS & EVENTI

La direttiva NIS2 dell’Unione Europea rappresenta un importante aggiornamento per la gestione della sicurezza informatica nelle aziende. La normativa introduce nuove responsabilità per le organizzazioni che operano nei settori critici, con l’obiettivo di migliorarne la protezione contro le crescenti minacce Cyber.

NIS2 vuole essere un punto d’attenzione per tutte le imprese italiane, che ancora sottovalutano i rischi di un attacco informatico. L’Unione Europea e i governi collaborano sempre di più a scrivere misure stringenti che diverranno ben presto obbligatorie, l’importanza di prevenire e proteggere le imprese dai rischi informatici e avere processi adeguati per affrontarli è una sfida che nei prossimi anni vedremo sempre più concretizzarsi.

DIRETTIVA NIS2 OBBLIGHI: QUALI AZIENDE SONO SOGGETTE?

NIS2 (Network and Information Security) è una Direttiva dell’Unione Europea finalizzata a migliorare la resilienza e la sicurezza delle reti e dei sistemi informativi in Europa. La direttiva copre non solo i fornitori di servizi definiti “Essenziali”: ovvero aziende che operano in settori critici per la sicurezza e il funzionamento della società, ma anche quelle che supportano la catena d’approvvigionamento le aziende che ricadono come “essenziali”.

CARATTERISTICHE DELLE AZIENDE

NIS2 si applica a:

• Grandi imprese con più di 250 dipendenti o un fatturato annuo maggiore di 50 milioni di euro, o un totale di bilancio annuo superiore a 43 milioni di euro;
• Medie imprese con un numero di dipendenti compreso fra 50 e 250 dipendenti o un fatturato annuo o un totale di bilancio compreso fra 10 e 50 milioni di euro, oppure con un totale di bilancio annuo non superiore a 43 milioni di euro;
• Pubbliche Amministrazioni, con maggiore spazio di valutazione agli Stati membri in fase di recepimento;
• Categorie specifiche di soggetti, tra cui piccole imprese, individuate più puntualmente negli allegati I e II della direttiva.

DIRETTIVA NIS2 OBBLIGHI PRINCIPALI PER LE AZIENDE

Le aziende devono adottare rigorose misure di sicurezza per proteggere i loro sistemi informatici.

Direttiva NIS2 obblighi principali:

GESTIONE DEL RISCHIO INFORMATICO

Le aziende devono implementare politiche di gestione del rischio che includano:

• Valutazione continua dei rischi: Monitorare costantemente le vulnerabilità interne ed esterne, inclusi i rischi legati a fornitori e alla supplychain;
• Adottare misure di sicurezza: implementare internamente all’azienda misure tecnologiche e organizzative che permettano di operare in completa sicurezza;
• Piani di continuità operativa: predisporre backup regolari e piani di disaster recovery per minimizzare l’impatto degli incidenti;
• Formazione del personale: formare in modo adeguato il personale interno e identificare i responsabili della sicurezza informatica aziendale;
• Segnalazione incidenti: notificare e possedere un processo adeguato di gestione degli incidenti in grado di comunicare con le autorità competenti.

SEGNALAZIONE DEL RISCHIO INFORMATICO

Quando si verificano incidenti informatici significativi, le aziende devono agire prontamente per informare le autorità competenti e limitare i danni. Le procedure di segnalazione includono:

• Notifica entro le 24 ore: le aziende sono tenute a notificare l’incidente entro 24 ore dall’accaduto per avvisare le autorità;
• Aggiornamento entro le 72 ore: a seguito del preallarme aggiornare con le maggiori informazioni a disposizione;
• Entro 1 mese: le aziende forniscono una relazione completa sull’incidente, con analisi dettagliata, entro 72 ore per facilitare la gestione e prevenzione di future minacce.

MISURE TECNICHE E INFORMATIVE

Per garantire la sicurezza delle informazioni e la protezione da minacce informatiche, le aziende devono implementare una serie di misure tecniche e organizzative fondamentali.

Queste misure includono:

• Protezione della supplychain: implementare controlli e procedure per garantire la sicurezza nei rapporti con i fornitori;
• Crittografia: utilizzare tecniche di crittografia avanzate per proteggere i dati sensibili;
• Autenticazione: adottare sistemi di autenticazione forte, come l’autenticazione multi-fattore, per controllare gli accessi;
• Igiene informatica: mantenere aggiornati i sistemi informativi, monitorare costantemente gli accessi e applicare pratiche di sicurezza di base per prevenire vulnerabilità.

DIRETTIVA NIS2 OBBLIGHI, RESPONSABILITÀ E SANZIONI

La direttiva NIS2 assegna un’importante responsabilità ai dirigenti aziendali, che devono supervisionare direttamente la gestione della sicurezza informatica e garantire la conformità dell’azienda.

Le azioni chiave richieste ai dirigenti includono:

• Supervisionare la gestione della sicurezza: assicurarsi che le politiche di sicurezza informatica siano correttamente implementate a tutti i livelli dell’organizzazione;
• Integrare la gestione del rischio: incorporare la gestione del rischio nelle decisioni strategiche aziendali per mitigare le minacce informatiche;
• Assumersi responsabilità legali: i dirigenti possono essere soggetti a sanzioni personali in caso di non conformità o violazione delle misure di sicurezza;
• Conformità e sanzioni: in caso di mancato rispetto della NIS2, le sanzioni possono raggiungere 10 milioni di euro o il 2% del fatturato globale annuo, sottolineando la gravità delle responsabilità legali.

PREPARARSI A NIS2

Le aziende devono affrontare la direttiva NIS2 adottando un approccio proattivo alla sicurezza informatica continua, che include la formazione del personale e la conduzione di audit regolari.

L’utilizzo di tecnologie avanzate è cruciale per migliorare la resilienza dell’infrastruttura informatica e garantire la capacità di rispondere in modo rapido ed efficace agli attacchi cyber.

Adeguarsi agli obblighi della NIS2 non è solo una necessità per evitare sanzioni significative, ma rappresenta anche un’opportunità per le imprese di rafforzare la propria sicurezza e proteggere le operazioni quotidiane da minacce sempre più sofisticate.