Regole ed obblighi in materia di Sicurezza Informatica

Il 17 ottobre 2024, entra in vigore la Direttiva Europea NIS 2 sulla sicurezza delle reti e dei sistemi informativi (Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni), che introduce nuovi requisiti di sicurezza informatica per aziende e organizzazioni operanti in settori specifici.
Nata dalla revisione della precedente Direttiva NIS (UE 2016/1148), attuata in Italia con D.lgs. n. 65 del 18 maggio 2018, la NIS 2 segna un altro importante passo verso la definizione della strategia per la Cybersicurezza dell’Unione Europea, con l’obiettivo di colmare alcune carenze e coordinare le risposte degli Stati membri in caso di incidenti di sicurezza, garantendo la continuità dei servizi essenziali e importanti

Quali sono le aziende soggette alla direttiva?

La NIS2 si applica a un’ampia gamma di aziende e organizzazioni, tra cui:

• Operatori di settori critici: energia, trasporti, sanità, finanza, acque reflue, settore pubblico.
• Fornitori di servizi digitali: posta elettronica, motori di ricerca, cloud computing.
• Piattaforme online: marketplace, social media.

Il sito specializzato “Agenda Digitale", per tematiche riguardanti il Digitale e la Pubblica Amministrazione, ha predisposto una  categorizzazione completa di tutti i soggetti coinvolti.

Per chi non rientra?

pur non essendovi un obbligo formale, vista la situazione geopolitica ed il crescente impatto su tutte le organizzazioni degli attacchi informatici, seguire la direttiva NIS2 rappresenta un’ottima opportunità per incrementare il proprio livello di sicurezza, per garantire la Business Continuity e per offrire servizi ai propri clienti sempre più affidabili e competitivi.

Come attivarsi per la compliance?

Fra i punti principali da sviluppare per allinearsi alla direttiva, si possono riassumere i seguenti step:

1. Valutare e mappare i propri sistemi. E’ necessario identificare i settori in cui opera l’azienda, i dati sensibili che gestisce e i potenziali rischi a cui è soggetta.
2. Effettuare una valutazione del rischio. Un’analisi approfondita delle  minacce e delle vulnerabilità a  è fondamentale per definire le misure di sicurezza adeguate.
3. Implementare le misure di sicurezza. Il passo successivo  è l’adozione di un piano di miglioramento che preveda misure tecniche e organizzative per ridurre ad accettabili i rischi individuati, basandosi su standard e best practice del settore.
4. Testare e monitorare. Le misure di sicurezza implementate devono essere regolarmente testate per verificarne l’efficacia e monitorate costantemente per adattarle all’evolversi delle minacce. il tutto dovrà sempre essere opportunamente documentato 

Quali altri aspetti operativi?

oltre allo sviluppo dei punti di cui sopra fra le azioni operative necessarie per incrementare il livello di sicurezza è sicuramente opportuno:

• Nominare un responsabile per la sicurezza informatica. Questa figura avrà la responsabilità di supervisionare l’implementazione e il mantenimento delle misure di sicurezza.
• Formare il personale sulla sicurezza informatica. Tutti i dipendenti dovrebbero essere consapevoli delle minacce informatiche e sapere come proteggere i dati e le infrastrutture aziendali.
• Utilizzare soluzioni di sicurezza affidabili. Investire in soluzioni di sicurezza informatica di ultima generazione per proteggere efficacemente le infrastrutture e i dati aziendali dalle minacce informatiche in continua evoluzione. (ad esempio: sistemi di rilevamento e prevenzione delle intrusioni – IDS/IPS; Firewall di ultima generazione; IAM soluzioni di gestione delle identità e degli accessi; backup e ripristino evoluti; crittografia; ecc..)