NIS 2 - o Direttiva (UE) 2022/2555 - direttiva NIS (Network and Information Security) - ha sostituito l'originaria Direttiva 2016/1148/CE per rafforzare La sicurezza nei settori critici delle aziende che operano all’interno dell’EU. La nuova versione di NIS migliora le capacità di sicurezza informatica e promuove la resilienza in situazioni critiche infrastrutture e servizi digitali – e si applica a tutte le aziende e organizzazioni di prodotti/servizi importanti nella comunità europea.
La Direttiva NIS 2 entrerà in vigore negli Stati membri entro la fine del 2024. La mancata conformità con NIS 2 può comportare sanzioni imposte dalle autorità nazionali, tra cui sanzioni pecuniarie e limitazioni operative, oltre a danni di data breach e di reputazione.
NIS 2 amplia la sua applicabilità per includere una gamma più ampia di aziende e settori: Operatori di servizi essenziali e Fornitori di servizi digitali, tra cui trasporti, energia, infrastrutture bancarie e dei mercati finanziari, infrastrutture digitali, destione dei servizi ICT, sanità, approvvigionamento idrico, gestione dei rifiuti, pubblica amministrazione, servizi postali e corrieri.
Un aspetto fondamentale della NIS 2 è la gestione dei rischi e procedura di segnalazione degli incidenti di sicurezza informatica. La proposta mira a rafforzare gli obblighi di sicurezza, imponendo un approccio di gestione del rischio con un elenco minimo di misure di sicurezza da applicare. Gli operatori interessati dovranno adottare misure tecniche e organizzative adeguate e proporzionate per gestire le minacce poste alla sicurezza delle reti e dei sistemi informativi e per minimizzare l’impatto di eventuali incidenti informatici.
Per la prima volta le persone fisiche possono essere ritenute responsabili della violazione dei loro obblighi rispetto le misure di sicurezza. La NIS 2 stabilisce che questi devono:
approvare le misure di gestione dei rischi in materia di cybersecurity adottate da tali soggetti,
controllarne l’attuazione
essere responsabili di eventuali inosservanze.
Si sottolinea, quindi, che la cybersecurity rientra nella responsabilità dei consigli di amministrazione. Di conseguenza, i membri del CDA devono partecipare regolarmente a corsi di formazione specifici atti a valutare i rischi di cybersecurity e l’impatto delle pratiche di gestione sulle operazioni dell’entità
Raccomandazioni per la conformità NIS 2
Valutare l’attuale postura in materia di sicurezza informatica e identificare le lacune.
Condurre valutazioni complete del rischio cyber e dare priorità alle attività di mitigazione dei rischi (eventualmente valutare la postura di sicurezza informatica di fornitori di terze parti e partner commerciali).
Stabilire piani di IR – Incident Response (risposta agli incidenti) e i processi di reporting e comunicazione verso il management aziendale.
Implementare solidi programmi di sicurezza in linea con i requisiti NIS 2.
Monitorare e valutare continuamente i controlli di sicurezza per mantenere la conformità.
Chiedici come rendere la tua azienda aderente a alla NIS-2 con una email a info@tekapp.it