Per uniformare l’attuazione della Direttiva NIS (2016) sulla sicurezza dei sistemi di rete e informativi tra gli Stati membri, l’Unione Europea ha introdotto la Direttiva NIS2 (Network and Information Security). Questo atto legislativo è cruciale per potenziare e promuovere l’adozione di strategie nazionali in cybersecurity.
Che cos’è il NIS2?
La direttiva NIS2, successiva alla direttiva iniziale sulla sicurezza delle reti e dell’informazione, rappresenta un passo cruciale nell’ambito legislativo per potenziare la sicurezza informatica e proteggere le infrastrutture critiche all’interno dell’Unione Europea (UE). Il suo obiettivo principale è quello di stabilire un quadro comune volto a garantire la sicurezza delle reti e dei sistemi informativi, concentrandosi soprattutto su settori vitali come l’energia, i trasporti, la sanità, i servizi finanziari e il digitale.
Superando le lacune del suo predecessore e ampliando il suo ambito di applicazione, la direttiva NIS2 rafforza le disposizioni sulla sicurezza, potenzia i requisiti di segnalazione e migliora le capacità di gestione delle crisi. Questo è una risposta diretta alla crescente minaccia rappresentata da attacchi informatici sempre più sofisticati e dannosi, fornendo così una strategia difensiva robusta, completa e flessibile.
Come SMARTFENSE può aiutare con la conformità alla direttiva NIS2
SMARTFENSE, piattaforma leader nelle soluzioni di awareness alla cyber security, si impegna attivamente ad assistere le organizzazioni nel raggiungimento della conformità ai requisiti della direttiva NIS2.
Per ottemperare agli standard della NIS2, le organizzazioni devono adottare un approccio olistico che includa la gestione dei rischi, le procedure di notifica e i piani di risposta. Gli articoli 7, 9, 20 e 21 sottolineano l’importanza di coinvolgere sia i dirigenti che i dipendenti nella sensibilizzazione, al fine di dotarli delle competenze necessarie per individuare i rischi e valutare le pratiche di gestione del rischio informatico.
La piattaforma fornisce una serie di strumenti e funzionalità mirati a potenziare la cultura della cybersecurity all’interno delle aziende:
- Formazione e consapevolezza: SMARTFENSE offre una vasta gamma di corsi di formazione e training che affrontano diverse minacce alla sicurezza e le migliori pratiche per contrastarle. Questo permette ai dipendenti di riconoscere e affrontare le minacce in modo efficace. La piattaforma è disponibile in diverse lingue per rispondere alle esigenze formative dei vari Paesi. Inoltre, fornisce una visione unificata in cui i dipendenti possono accedere a tutti i moduli formativi e alle politiche di sicurezza, personalizzate per ciascuna organizzazione. Questo favorisce il coinvolgimento dei dipendenti, che hanno accesso anche a formazioni proattive direttamente sulla piattaforma.
- Gestione degli incidenti: SMARTFENSE fornisce strumenti per una gestione efficace degli incidenti di sicurezza, consentendo alle aziende di individuare, investigare e rispondere rapidamente a potenziali cyber attacchi. Il pulsante di segnalazione di phishing integrato permette ai dipendenti di segnalare tempestivamente gli incidenti, facilitando così la rilevazione precoce delle minacce.
- Monitoraggio e audit: L’articolo 11 della normativa NIS2 richiede ai CSIRT di fornire un’analisi dinamica dei rischi e degli incidenti, nonché una consapevolezza della situazione della sicurezza informatica. Lo strumento di Scoring di Rischio di SMARTFENSE mette al centro l’elemento umano nell’analisi e nelle metriche. Ciò consente di monitorare i progressi dei programmi di awareness e di accedere a analisi dettagliate, metriche e KPI relativi al rischio umano in un’organizzazione.
Perché attuare il NIS2?
Il panorama delle minacce in Europa ha subito notevoli cambiamenti a causa dell’evoluzione costante dei cybercriminali e dell’impiego sempre più sofisticato della tecnologia, inclusi strumenti di intelligenza artificiale. La crescente professionalizzazione del settore della criminalità informatica ha reso più semplice il lancio di attacchi, anche tramite piattaforme SaaS come quelle tradizionalmente offerte sul mercato. Inoltre, le tensioni globali e i conflitti nazionali si riflettono nel mondo digitale, con un aumento dell’hacking di Stato, dello spionaggio informatico e della guerra cibernetica. L’espansione dello Smart Working ha amplificato le opportunità per i cybercriminali di sfruttare vulnerabilità come dispositivi personali non sicuri e connessioni poco affidabili.
L’aumento dei cyberattacchi colpisce in particolare i settori critici, come l’energia, l’istruzione, la sanità e i trasporti, che sono interessanti per i cybercriminali a causa dell’urgenza dei loro servizi e della possibilità di ricatto economico.
Per far fronte a queste minacce, sono state attuate misure normative come la direttiva NIS2 e la DORA, che mirano a coordinare le risposte e ad attrezzare meglio le organizzazioni europee per contrastare l’evoluzione delle minacce informatiche.
Gli obiettivi del NIS2
Gli obiettivi della normativa NIS2 comprendono la resilienza digitale e la gestione delle minacce, con particolare attenzione al miglioramento della sicurezza informatica per garantire la continuità delle prestazioni aziendali, promuovere la collaborazione e incoraggiare comportamenti sicuri tra la forza lavoro. Questi sono gli obiettivi principali che NIS2 cerca di raggiungere:
- Implementare le pratiche di gestione degli asset per identificare e proteggere i sistemi con informazione critica.
- Informare le autorità competenti e mantenere la capacità di risposta agli incidenti.
- Sviluppare ed eseguire strategie di cybersecurity e protocolli di gestione del rischio.
- Stabilire protocolli di gestione degli incidenti, piani di notifica e di risposta.
- Progettare una strategia per garantire la continuità dei servizi critici durante gli incidenti informatici.
- Implementare misure di sicurezza della supply chain per esaminare e garantire la sicurezza dei fornitori esterni.
Sensibilizzare i dipendenti sui protocolli ottimali di sicurezza informatica.
- Assicurare la segnalazione degli incidenti alle agenzie competenti e mantenere la capacità di risposta agli incidenti.
- Eliminare le incongruenze e migliorare la comunicazione e la cooperazione tra gli Stati membri.
Aziende ed enti coperti dal NIS2
Il NIS2 copre un numero maggiore di organizzazioni rispetto al suo predecessore, concentrandosi su aziende con almeno 50 dipendenti o 10 milioni di euro di ricavi annuali.
I criteri di segmentazione delle organizzazioni sono i seguenti:
Aziende essenziali:
- > 250 dipendenti.
- 50 milioni di euro di fatturato.
- 43 milioni di euro stato patrimoniale.
- Settori:
- Energia.
- Trasporti.
- Banche.
- Mercati finanziari.
- Servizi igienici.
- Acqua potabile.
- Acque reflue.
- Infrastrutture digitali.
- Gestione dei servizi ICT.
- Pubblica amministrazione.
- Spazio.
Aziende importanti:
- da 50 a 250 impiegati.
- da 10 a 50 milioni di euro di fatturato.
- da 10 a 43 milioni di euro stato patrimoniale.
- Settori:
- Servizi postali e di corriere.
- Gestione dei rifiuti.
- Prodotti chimici
- Prodotti alimentari.
- Industria manifatturiera.
- Fornitori digitali.
- Organizzazioni di ricerca.
Entrambe le categorie devono rispettare le misure di cybersecurity, ma sono soggette a diversi livelli di supervisione e sanzioni.
Anche se un’organizzazione non soddisfa i criteri per essere un’entità critica o significativa, può comunque scegliere di conformarsi alla NIS2 per migliorare il proprio sistema di sicurezza informatica.
Definizione degli obiettivi: Ottobre 2024 si avvicina
La prima direttiva NIS è stata adottata nel luglio 2016 per migliorare la sicurezza informatica nell’UE, con una scadenza di maggio 2018 per l’attuazione. Tuttavia, nel 2020 è stata riconosciuta la necessità di una legislazione più solida, che ha portato alla proposta della direttiva NIS2 nel dicembre 2020.
Dopo un anno di revisione, la direttiva è stata approvata nel 2022 e pubblicata nel dicembre dello stesso anno. È entrata in vigore nel gennaio 2023 e gli Stati membri hanno tempo fino a ottobre 2024 per adottarla. La mancata conformità comporterà multe e tasse. I rapporti periodici sull’attuazione e la revisione sono previsti per il 2025, mentre la revisione completa è prevista per il 2027.
Conclusione
Garantire la conformità alla NIS2 è cruciale per assicurare la cybersecurity nell’Unione Europea e difendere l’infrastruttura digitale dei settori critici.
Lascia un commento