La direttiva europea NIS2

La direttiva NIS2, divenuta operativa nel mese di Ottobre 2024, integra e sostituisce la precedente direttiva NIS ampliando le aziende a cui deve essere applicata ed introducendo criteri sanzionatori più ampi e molti cambiamenti rispetto alla precedente.

Lo scopo principale di questi cambiamenti è di garantire la sicurezza per tutte le organizzazioni che ricoprono ruoli critici per il trattamento dati al fine del funzionamento della comunità europea.

NIS2 prevede la definizione di 11 settori che ricadono nei servizi essenziali e di 7 considerati come servizi importanti.

Ad esempio, la produzione di prodotti farmaceutici, le attività di alcuni settori della pubblica amministrazione ricadono nei servizi essenziali, mentre la produzione di cibo, i servizi postali o i corrieri sono considerati servizi importanti. Sono poi definite una serie di sottocategorie ed è introdotto il principio della valutazione della catena del valore determinando un incremento notevole delle società soggette a tale direttiva.

Le categorie di servizi critici ed importanti con le definizioni delle sottocategorie sono riportate nell’allegato 1 e nell’allegato 2 della direttiva,

La Commissione ha valutato la direttiva applicabile per i soggetti economici con più di 50 dipendenti o un fatturato annuo superiore ai 10 milioni di Euro consentendo agli stati membri di modificare tali limiti ed ha introdotto il principio che anche realtà minori che appartengono alla filiera di realtà soggette a NIS2 devono rispettare i principi della direttiva.

Sono previste 10 misure connesse alla cybersicurezza che devono essere efficacemente implementate dai soggetti interessati con la definizione di procedure efficaci, efficienti e misurabili secondo i dettami ad esempio riportati nella norma ISO 27001.

In particolare, devono essere implementate:

1. Politiche ed analisi dei rischi riguardanti la sicurezza del sistema di gestione delle informazioni;
2. Gestione degli incidenti;
3. Procedure atte a garantire la continuità della attività quali gestione dei backup, gestione degli incidenti e gestione della crisi;
4. Sicurezza della catena dei fornitori, inclusi gli aspetti riguardanti i rapporti tra il soggetto interessato alla fornitura ed i propri fornitori diretti;
5. Sicurezza della gestione, sviluppo e mantenimento della rete e degli strumenti di acquisizione delle informazioni;
6. Regole e procedure che garantiscano l’effettiva efficacia delle misure di cybersicurezza introdotte;
7. Introduzione di regole di comportamento in grado di garantire la sicurezza dei trattamenti e corsi di formazione specifici;
8. Politiche e procedure per l’introduzione di sistemi di crittografia e cifratura;
9. Sicurezza delle risorse umane, politiche di controllo degli accessi e gestione degli asset;
10. Utilizzo di strumenti di autenticazione multipla e continua, di protezione delle comunicazioni in modalità testo, audio, video e garanzia di appropriati strumenti per la comunicazione tra le parti in caso di emergenza, se necessarie.

Prima delle attività di implementazione delle soluzioni necessarie per rispondere ai requisiti della direttiva NIS2 risulta quindi necessaria una approfondita attività di analisi dell’esistente la definizione delle competenze necessarie per le figure interne coinvolte.

Il webinar gratuito proposto da Seaconsulenze vuole introdurre i concetti fondamentali introdotti dalla norma presentando i servizi offerti per il raggiungimento della adeguatezza da parte delle società interessate.

ISCRIVITI.