Gli Adempimenti della Direttiva NIS2



Timeline & scadenze della Direttiva NIS2

  • 27 Dicembre 2022: Pubblicazione della direttiva NIS2 nella Gazzetta Ufficiale dell’UE.
  • 16 Gennaio 2023: Entrata in vigore della Direttiva NIS2.
  • 17 Ottobre 2024: Termine ultimo per l’adeguamento.
  • 18 Ottobre 2024: Abrogazione della precedente Direttiva NIS.
  • Da Febbraio 2025: Comunicazione al CSIRT dei dati aziendali, degli indirizzi IP, ecc.
  • 17 Aprile 2025: Termine ultimo per la definizione dell’elenco delle “entità essenziali” (o “ad alta criticità”) e “importanti” (o “altri settori critici”).



Per ulteriori informazioni...

Consulta il testo della normativa nel sito dell’UE:

Approfondimento sulle misure minime della direttiva NIS2

QUALI SONO LE MISURE MINIME DI GESTIONE DEL RISCHIO E DEGLI INCIDENTI DI CYBERSECURITY?

Esiste una serie di misure minime che la NIS2 richiede a tutte le aziende interessate alla loro implementazione. Una buona pratica per garantire che la tua specifica attività sia pienamente conforme alla direttiva NIS2 è quella di chiedere una consulenza specialistica da parte di professionisti della sicurezza informatica.

Contattaci!



IL TUO PIANO DI SICUREZZA

Per conformarsi a normative complesse come la Direttiva NIS2, è necessario un piano con tutti i passaggi da seguire.

Prima di iniziare, è importante:

  • capire se la tua azienda rientra nell’ambito di applicazione della Direttiva e comprenderne i requisiti principali;
  • definire i processi per garantire un controllo costante nel tempo;
  • essere consapevoli, a livello di Top Management e non solo di reparto IT, delle sanzioni e degli impatti dovuti alla non conformità;
  • essere in grado di gestire il rischio informatico in tutti i suoi aspetti;
  • saper gestire gli incidenti informatici;
  • coinvolgere il Top Management e tutto il personale nel processo di sensibilizzazione ai temi della sicurezza informatica in azienda.

MISURE DI SICUREZZA DELLA DIRETTIVA NIS2 PASSO DOPO PASSO

Una volta stabilito ciò, è necessario adottare alcune misure che vengono qui sinteticamente riportate solo a scopo informativo generale. Per il processo di conformità è sempre utile rivolgersi a professionisti esterni con comprovata esperienza in ambito cyber sicurezza.

La checklist che segue è solo a scopo indicativo dei passaggi da intraprendere.

1. Ottenere l’attenzione e il sostegno del Top Management per l’intero processo

2. Definire attentamente fasi e obiettivi del processo di adeguamento

La chiara comprensione delle fasi di attuazione, delle tappe, dei risultati principali, delle responsabilità è necessaria per ottenere i risultati richiesti. In altre parole, per avere successo è necessario un approccio progettuale, meglio se coadiuvato da specifico software.

3. Effettuare una formazione iniziale sulla cyber sicurezza

4. Adottare un approccio basato su rischi e loro mitigazione

L’adozione di un approccio basato sul cyber rischio e su una valutazione oggettiva di esso è il momento iniziale del processo di adeguamento. L’azienda deve conoscere e comprendere le lacune rispetto: al grado di esposizione ai rischi, alle dimensioni dell’azienda, alla probabilità che si verifichino incidenti e alla loro gravità, nonché all’impatto sociale ed economico degli incidenti. E’ utile in questa fase il ricorso a Security Assessment o Penetration Test esterni.

5. Definire Politiche di Sicurezza Informatica a tutti i livelli

La stesura di chiare procedure per la gestione degli incidenti di sicurezza è considerata una best practice dagli standard internazionali. La documentazione deve mostrare chiaramente gli obiettivi richiesti in tema di cyber sicurezza, ruoli e responsabilità e criteri di misurazione dei risultati ottenuti.

6. Scrivere un Piano di gestione del Rischio

La stesura e l’approvazione di un “Piano di gestione dei Rischi informatici” sono passaggi necessari per l’implementazione di adeguate misure di sicurezza informatica: il piano può includere un elenco di tutte le misure implementate, insieme a informazioni su chi è responsabile, quali sono le scadenze, ecc.

7. Definire una Metodologia di Gestione del Rischio

La gestione del rischio può includere operazioni tecniche preventive, come valutazioni indipendenti del rischio, Politiche di Backup e Penetration Test.

8. Attuare delle misure tecniche, operative e organizzative di sicurezza informatica

Dopo la fase progettuale è necessario mettere in pratica quanto concettualizzato nei piani previsti dai punti precedenti. L’obiettivo finale, previsto dall’art. 21 della Direttiva, è “gestire i rischi [...] e prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei propri servizi e su altri servizi” (per i documenti e le misure della direttiva NIS2, si veda la pagina dedicata ai requisiti).

9. Controllare i fornitori (Supply Chain Security)

La Direttiva NIS2 ha riconosciuto che un numero crescente di incidenti di sicurezza è legato a violazioni dei sistemi dei fornitori: ciò richiede un’attenzione particolare al rapporto con questi ultimi, che comprende la valutazione delle loro vulnerabilità e lo studio delle loro procedure di sviluppo del software.

10. Impostare la valutazione dell’efficacia delle misure intraprese

È possibile impostare la valutazione dell’efficacia introducendo audit interni periodici per scoprire nuove vulnerabilità. Possono aiutare nel processo alcuni documenti come le “procedure di audit interno” (per i documenti e le misure della Direttiva NIS2, si veda la pagina dedicata alla documentazione da predisporre).

11. Impostare una procedura per la segnalazione degli incidenti

I nuovi obblighi prevedono una precisa sequenza di azioni da intraprendere in caso di incidenti rilevanti. Occorre notificare un allarme preventivo, una notifica di incidente, un rapporto intermedio, un rapporto finale e un rapporto sullo stato di avanzamento. Occorre anche prevedere l’eventuale notifica, ai destinatari dei servizi, degli incidenti che possono impattare sui dati e sui servizi.

12. Predisporre una formazione continua sui temi della Cybersecurity

La sensibilizzazione ai temi della sicurezza informatica deve coinvolgere tutti i dipendenti. I temi da trattare dovranno comprendere la cosiddetta “igiene informatica di base”, l’uso della crittografia e della cifratura, l’adozione di soluzioni di autenticazione a più fattori (per i documenti e le misure relative, si veda la pagina dedicata alla documentazione da predisporre).



I DOCUMENTI UFFICIALI DELL’UE

È possibile consultare qui la Direttiva NIS2 in una delle lingue disponibili (formato PDF):

Per ulteriori informazioni su settori e sotto-settori, si possono scaricare gli Allegati 1 e 2, in Italiano e in Inglese (formato PDF).