Cosa

I consulenti E.R Services Group forniscono consulenza specialistica per supportare i referenti aziendali nell’adeguamento delle misure di sicurezza IT, in conformità con quanto richiesto dalla Direttiva (UE) 2022/2555 (NIS2), recepita a livello nazionale attraverso il Decreto Legislativo 4 settembre 2024 n. 138.

 

I temi trattati dalla Direttiva comprendono:

• Politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
• Gestione degli incidenti;
• Continuità operativa e gestione delle crisi;
• Sicurezza della catena di approvvigionamento;
• Sicurezza dell’acquisizione, sviluppo e manutenzioni dei sistemi informatici e di rete;
• Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi;
• Pratiche di igiene informatica di base e formazione in materia di cibersicurezza;
• Politiche e procedure sull’utilizzo della crittografia e cifratura;
• Sicurezza delle risorse umane e strategie di controllo degli accessi;
• Utilizzo di sistemi di autenticazione robusti.

 

Action Plan

I consulenti ERSG forniranno il loro supporto ai referenti aziendali per definire e attuare un “action plan” volto a:

 

• Individuare i gap esistenti fra le misure di sicurezza IT implementate e i requisiti definiti dalla Direttiva;
• Adeguare le misure ai requisiti della Direttiva;
• Condurre audit periodici di conformità ai requisiti della Direttiva.

 

 

Gap Analysis

Questa fase mira a valutare lo stato attuale delle misure di sicurezza IT adottate, confrontandole con i requisiti stabiliti dalla Direttiva. L'analisi sarà condotta attraverso un audit rivolto ai referenti aziendali delle aree IT, Risorse Umane e Acquisti, seguendo il seguente schema operativo:

 

Misura NIS2

Evidenze raccolte

Valutazione conformità

Osservazioni

 

Output: report di gap analysis e presentazione della fase di adeguamento.

 

Adeguamento - Data Protection System

Questa fase è finalizzata a supportare i referenti aziendali nell'implementazione delle misure di sicurezza IT richieste dalla Direttiva, attraverso la realizzazione del Data Protection System (DPS).

Il DPS rappresenta uno strumento strategico per la pianificazione e il controllo dell'intero processo di protezione dei dati aziendali.

Le attività previste includono la predisposizione della documentazione necessaria per l’implementazione del sistema di protezione dei dati, tra cui, a titolo esemplificativo:

 

• Policy di sicurezza ICT;
• Policy di gestione dei rischi;
• Valutazione dei Rischi e Piano di Trattamento;
• Policy di gestione degli incidenti e registro degli incidenti;
• Business Impact Analysis e Business Continuity Plan;
• Policy di gestione dei backup;
• Piano di backup;
• Policy di gestione delle crisi / disastri;
• Disaster recovery plan;
• Policy di gestione della Supply Chain;
• Policy di acquisizione, sviluppo e manutenzione dei sistemi informativi;
• Policy di gestione della crittografia;
• Policy di gestione delle risorse umane;
• Piani formativi;
• Policy di controllo accessi;
• Policy di gestione degli asset e classificazione delle informazioni;
• Inventario degli asset;
• Policy di gestione della sicurezza ambientale e fisica.

 

Audit periodici

In conformità con quanto stabilito dalla Direttiva, i soggetti coinvolti sono tenuti a definire, implementare e applicare una strategia chiara, affiancata da procedure mirate, per verificare chele misure di gestione dei rischi di cibersicurezza siano efficacemente adottate e costantemente mantenute.

Per garantire il rispetto di questi requisiti, saranno effettuati audit periodici finalizzati a monitorare l’efficacia delle misure implementate nel tempo. Tali verifiche saranno condotte da tecnici qualificati attraverso interviste strutturate ai referenti aziendali.

 

Formazione

Come stabilito dalla Direttiva, i soggetti interessati devono garantire che i propri dipendenti, inclusi i membri degli organi di gestione (es. CdA), nonché i fornitori diretti e i fornitori di servizi, siano pienamente consapevoli dei rischi, comprendano l'importanza della cibersicurezza e adottino pratiche efficaci di igiene informatica.

Per raggiungere questo obiettivo, verranno organizzate specifiche sessioni di formazione volte a fornire, a tutti i livelli aziendali, una conoscenza approfondita della cibersicurezza e delle corrette pratiche di igiene informatica da applicare quotidianamente.

 

Conclusioni

La conformità alla Direttiva NIS2 non è solo un obbligo normativo, ma un'opportunità per rafforzare la resilienza aziendale e proteggere i propri asset digitali. Implementare misure efficaci di sicurezza informatica significa tutelare la continuità operativa, la fiducia dei clienti e la reputazione aziendale in un mercato sempre più esposto alle minacce cibernetiche.

E.R Services Group è il partner ideale per guidare la tua azienda in questo percorso. Attraverso un approccio su misura, i nostri consulenti ti supporteranno nell'implementazione del Data Protection System, garantendo la piena conformità normativa e un livello di sicurezza avanzato.

Contattaci oggi stesso per proteggere i tuoi dati e a trasformare la sicurezza informatica in un vantaggio competitivo per la tua azienda.