Sistemi di gestione - servizi di consulenza
News
NIS2: Nuovi Obblighi di Cybersicurezza e Azioni da Intraprendere (28 febbraio registrazione sul portale ACN)
La Direttiva NIS2 introduce requisiti stringenti per garantire un livello elevato di sicurezza informatica, imponendo obblighi di governance, gestione dei rischi e segnalazione degli incidenti. Le imprese coinvolte devono agire tempestivamente per evitare difficoltà operative e sanzioni.
1. Governance e Responsabilità
Gli organi di gestione dei soggetti essenziali e importanti (es. Consiglio di Amministrazione) devono:
- Approvare le misure di gestione dei rischi adottate dall'organizzazione.
- Seguire una formazione periodica su tematiche di cybersicurezza.
- Garantire una formazione analoga ai dipendenti.
L’obiettivo è rafforzare la consapevolezza e la preparazione dell’intera struttura aziendale.
2. Risk Management: Valutazione e Misure di Sicurezza
Le imprese devono implementare misure tecniche e organizzative adeguate per la gestione del rischio, come previsto dalla Direttiva.
Misure di sicurezza richieste
- Autenticazione a più fattori
- Crittografia dei dati
- Adozione di pratiche di igiene informatica
- Sicurezza delle risorse umane
Focus sulla Supply Chain
Le organizzazioni devono monitorare e garantire la sicurezza della propria catena di approvvigionamento, considerando:
- Vulnerabilità specifiche dei fornitori.
- Qualità dei prodotti e delle pratiche di cybersicurezza adottate dai partner.
Continuità Operativa e Gestione delle Crisi
È fondamentale garantire la resilienza dei servizi attraverso:
- Backup e disaster recovery.
- Piani di gestione delle crisi per minimizzare l’impatto di interruzioni.
3. Percorso di Adeguamento alla NIS2
Per conformarsi alla normativa, è consigliabile un approccio strutturato, articolato in tre fasi:
FASE 1 (eventuale): Pre-Assessment
- Obiettivo: verificare se l’azienda rientra nel perimetro NIS2.
- Azione chiave: individuare il punto di contatto in vista della scadenza del 28 febbraio per la registrazione sul portale ACN.
FASE 2 (necessaria): Gap Analysis
- Obiettivo: analizzare il livello attuale di conformità.
- Azione chiave: fornire un report con le attività prioritarie e una road map per l’adeguamento alla NIS2.
FASE 3 (necessaria): Remediation
- Obiettivo: portare l’azienda a uno stato di conformità completa.
- Azione chiave: implementare le misure correttive necessarie.
4. Differenze tra NIS2 e ISO 27001
La Direttiva NIS2 presenta diverse somiglianze con la ISO 27001, ma introduce elementi distintivi, tra cui:
- Maggiore attenzione sulla supply chain, con obblighi specifici per la sicurezza dei fornitori.
- Focus più marcato sui processi di incident response, con requisiti dettagliati per la gestione degli attacchi informatici.
Conclusione
L’adeguamento alla NIS2 richiede un impegno significativo in termini di governance, gestione dei rischi e implementazione di misure tecniche. Seguire un approccio strutturato e tempestivo riduce il rischio di sanzioni e garantisce una maggiore resilienza contro le minacce informatiche
E.R Services Group, in collaborazione con legali ed IT del settore, possono già da ora assistere le Aziende clienti con:
- valutazione applicabilità della Direttiva alla realtà aziendale
- supporto a Direzione e IT nell’implementazione delle misure di cybersecurity previste
E.R Services Group ha maturato una lunga esperienza nell’ambito della cybersecurity, avendo supportato con successo numerose aziende nell’ottenimento della certificazione ISO/IEC 27001.
