I Requisiti richiesti dalla Direttiva NIS2



Timeline & scadenze della Direttiva NIS2

  • 27 Dicembre 2022: Pubblicazione della direttiva NIS2 nella Gazzetta Ufficiale dell’UE.
  • 16 Gennaio 2023: Entrata in vigore della Direttiva NIS2.
  • 17 Ottobre 2024: Termine ultimo per l’adeguamento.
  • 18 Ottobre 2024: Abrogazione della precedente Direttiva NIS.
  • Da Febbraio 2025: Comunicazione al CSIRT dei dati aziendali, degli indirizzi IP, ecc.
  • 17 Aprile 2025: Termine ultimo per la definizione dell’elenco delle “entità essenziali” (o “ad alta criticità”) e “importanti” (o “altri settori critici”).



Per ulteriori informazioni...

Consulta il testo della normativa nel sito dell’UE:

I principali requisiti di Sicurezza Informatica della Direttiva NIS2

QUALI OBBLIGHI IMPONE LA DIRETTIVA NIS2?

Il processo di adeguamento e i requisiti richiesti dipendono dalle dimensioni dell’azienda, dal settore di attività e dal grado di esposizione al rischio.

I requisiti più importanti ruotano attorno a quattro temi principali: la Governance (ovvero il coinvolgimento del Top Management nel processo di adeguamento e relative responsabilità), l’adozione di procedure di valutazione e gestione del rischio cyber, la necessità di continuità operativa, gli obblighi di segnalazione.

Requisito relativo al coinvolgimento del Top Management ed alla Gestione della sicurezza

Top Management e Gestione della sicurezza

Requisito relativo alla Gestione del rischio

Gestione del rischio

Requisito relativo alla Continuità aziendale

Continuità aziendale

Requisito relativo alla Segnalazione degli incidenti informatici

Segnalazione dei cyber incidenti

Requisito relativo alla necessità di adottare una nuova documentazione sulle procedure per la 
                      sicurezza informatica

Documenti necessari


TOP MANAGEMENT E GESTIONE DELLA SICUREZZA

Il Top Management deve conoscere e comprendere i requisiti della Direttiva NIS2 e le nuove necessità di gestione del rischio. Deve inoltre conoscere e formalmente approvare le misure di cyber sicurezza implementate, deve supervisionare l’intero processo di adeguamento e assumere precise responsabilità in caso di errori.
Oltre che al personale di ogni livello, è esteso anche al Top Management l’obbligo formativo.

Contattaci se vuoi conoscere le nostre proposte formative sui temi del NIS2 e della cyber sicurezza.
E se desideri intraprendere con maggiore facilità il processo di adeguamento alla Direttiva, abbiamo creato un apposito software per facilitare il processo di adeguamento!


GESTIONE DEL RISCHIO

L’articolo 21 della Direttiva NIS2 prevede, in 10 punti, le misure minime di sicurezza per aumentare il livello di sicurezza informatica e minimizzare l’impatto di eventuali incidenti.
Ciò comporta l’adozione di determinate pratiche finalizzate all’analisi del rischio (ad esempio, la valutazione del grado di esposizione della propria azienda tramite Penetration Test o Security Assessment), l’adozione di procedure di gestione degli incidenti, verifiche sulla catena dei fornitori, l’uso di più fattori di autenticazione, crittografia ecc.

Contattaci se vuoi sapere di più sui nostri servizi dedicati alla valutazione delle vulnerabilità interne!


CONTINUITÀ AZIENDALE

Le organizzazioni devono considerare come garantire la continuità operativa in caso di un grave incidente informatico. Ciò include, ad esempio, il ripristino dei sistemi, le procedure di emergenza e la creazione di un team di risposta alle crisi.


SEGNALAZIONE DEI CYBER INCIDENTI

L’Art. 23 impone di segnalare gli incidenti significativi ai Computer Security Incident Response Teams (CSIRTs) e agli utenti dei loro servizi.
Sono previste precise tempistiche: gli incidenti gravi devono essere segnalati al CSIRT entro 24 ore dal momento in cui se ne viene a conoscenza e senza ritardi ingiustificati; un aggiornamento delle informazioni con una valutazione iniziale dell’incidente (la sua gravità, l’impatto e, se possibile, gli indicatori di compromissione) deve essere comunicato entro 72 ore. Il CSIRT nazionale può richiedere un rapporto intermedio sugli aggiornamenti rilevanti della situazione. Infine, entro 1 mese dalla trasmissione della notifica dell’incidente, è richiesto un rapporto finale che includa una descrizione dettagliata dell’incidente (gravità e impatto), del tipo di minaccia o della causa principale, delle misure di mitigazione.


DOCUMENTI NECESSARI

Il processo di adeguamento, illustrato nell’Articolo 21, prevede la stesura di numerosi documenti descriventi procedure che molto probabilmente già esistono in azienda ma che richiedono una formalizzazione.
L’elenco dei documenti da predisporre è legato alle misure già esistenti e a quanto di nuovo deve essere previsto in azienda: a titolo di esempio, possiamo citare documenti quali il piano di gestione del rischio cyber, dove confluiranno le stime del livello di rischio prodotte internamente o tramite test indipendenti; il piano di formazione del personale, le procedure di Disaster Recovery e/o Business Continuity, la procedura di gestione degli incidenti, la formalizzazione delle Politiche di Backup, password, accessi fisici. A ciò si aggiunge un piano per l’adozione dei più comuni strumenti innalzanti il livello di cyber sicurezza, come crittografia e più fattori di autenticazione.

Abbiamo predisposto uno specifico software per tenere traccia e gestire tutta la nuova documentazione NIS2.
Contattaci per saperne di più!



I DOCUMENTI UFFICIALI DELL’UE

È possibile consultare qui la Direttiva NIS2 in una delle lingue disponibili (formato PDF):

Per ulteriori informazioni su settori e sotto-settori, si possono scaricare gli Allegati 1 e 2, in Italiano e in Inglese (formato PDF).