consulenza adeguamento direttiva UE 2022/2555 - NIS2

ADEGUAMENTO ALLA DIRETTIVA EUROPEA NIS2: vantaggi della compliance

presentazione

La Direttiva europea 2022/2555 - NIS2 (Network & Information System), recepita nel nostro ordinamento con il D.lgs. 138/2024, introduce nuovi nuovi obblighi di sicurezza informatica per elevare e assicurare una adeguata protezione agli attacchi informatici per tutte le aziende operanti nei settori critici individuati.

I soggetti che ricadono nel perimetro della nuova devono innalzare i propri livelli di sicurezza informatica secondo tre principali aree di intervento: 

governance;
risk management ;
verifica della supply chain.

La Direttiva NIS2 ha come obiettivo quello di prevedere misure volte a garantire un livello comune elevato di cybersicurezza nell’Unione, in modo da migliorare il funzionamento del mercato interno, garantendo agli operatori dello stesso mercato di prevenire, mitigare e – se del caso – reagire ad incidenti di natura informatica.
Il Decreto Legislativo 138/2024, stabilisce le modalità di attuazione e il ruolo dell'Agenzia per la Cybersicurezza Nazionale (ACN) il cui compito si concretizza anche nella emissione di DETERMINAZIONI operative che forniscono chiarimenti e linee guida per tutti i soggetti interessati.

Con la nostra esperienza possiamo aiutare le organizzazioni interessate a conformarsi alla direttiva, valutando la sicurezza attuale, individuando le aree di miglioramento e sviluppando strategie personalizzate di adeguamento contribuendo al rinforzo dell'infrastruttura dedicata alla gestione dei dati e rinforzando anche la compliance verso la data protection (Reg. UE 2016/679 - Generale Data Protection Regulation).

finalità direttiva NIS2

La Direttiva NIS2 (Direttiva UE 2022/2555) è stata introdotta per rafforzare la cybersicurezza nell'Unione Europea, migliorando la resilienza delle reti e dei sistemi informativi.

Ecco i punti principali:

1. Ambito di applicazione

Si applica ad aziende ed enti pubblici che operano in settori critici come energia, trasporti, sanità e finanza.
Introduce la distinzione tra entità essenziali e entità importanti, in base alla loro rilevanza strategica.

2. Misure di sicurezza obbligatorie

Analisi dei rischi e implementazione di misure di protezione avanzate.
Gestione degli incidenti con obbligo di segnalazione tempestiva.
Protezione della supply chain per garantire la sicurezza dei fornitori.
Autenticazione a più fattori (MFA) e altre tecnologie per la protezione degli accessi.

3. Obblighi di notifica

Le aziende devono comunicare rapidamente eventuali incidenti di sicurezza alle autorità competenti.
Maggiore collaborazione tra Stati membri per una risposta coordinata.

4. Sanzioni e responsabilità

Introduce sanzioni più severe per chi non rispetta le norme.
Responsabilità diretta del management per la sicurezza informatica.

consulenza diretta per l'adeguamento normativo

1. Analisi preliminare

Valutazione dell'attuale livello di sicurezza informatica.
Stabilire il quadro di governance della cyber security: identificazione e documentazione dei ruoli e delle responsabilità delle principali parti interessate, tra cui il Consiglio di amministrazione, il Top Management e il personale ITC (interno e/o esterno).

2. Definizione della strategia di adeguamento

Consulenza e assistenza alla funzione ITC (interna e/o esterna) per l’implementazione delle misure di sicurezza richieste dalla normativa.
Consulenza e assistenza per la redazione del piano di gestione del rischio informatico.
Conformazione delle procedure di data protection (adeguamento al Reg. UE 2016/679) alle procedure NIS2.

3. Formazione e sensibilizzazione

Implementazione del programma di regolare formazione per aumentare la consapevolezza del rischio e la sensibilizzazione dei dipendenti in materia di cyber sicurezza. La formazione deve comprendere tutti i possibili aspetti di rischio, quali, ad esempio, la gestione delle password, le truffe di phishing e l’importanza di segnalare immediatamente attività sospette.

4. Gestione dei rischi della supply chain

Implementazione delle procedure per la valutazione dei rischi e la gestione della sicurezza nella catena di fornitura per stabilire la sicurezza della catena di approvvigionamento. Le organizzazioni, oltre a valutare regolarmente il rischio della catena di approvvigionamento, devono assicurarsi che anche i loro partner della catena di approvvigionamento rispettino quotidianamente i requisiti della Direttiva NIS2 per ridurre il rischio di attacchi informatici di terze parti. Ciò comporta l’implementazione di misure di sicurezza nella catena di approvvigionamento, quali: valutazioni e audit dei rischi dei fornitori, accordi contrattuali che specificano i requisiti di sicurezza, monitoraggio e comunicazione continui con i fornitori.

5. Monitoraggio e miglioramento continuo

Implementazione di strumenti di monitoraggio delle minacce.
Redazione e aggiornamento delle policy aziendali in materia di cyber sicurezza indicate nell’allegato1, in base alle evoluzioni normative.
Assistenza nella comunicazione e nella gestione delle notifiche agli organi competenti, come l'ACN (Agenzia per la Cybersicurezza Nazionale).
Conduzione di Audit periodici per verificare la conformità normativa e valutazioni periodiche del rischio nell’infrastruttura digitale. Queste valutazioni devono essere condotte regolarmente per identificare eventuali nuove minacce o punti deboli nelle difese di sicurezza e per valutare la sicurezza complessiva della catena di approvvigionamento.

MAGGIORI INFORMAZIONI

Per ottenere maggiori informazioni sulle modalità di audit di conformità alla direttiva NIS2 , compilate il form che trovate in fondo alla pagina, specificando dimensioni e tipologia dell'azienda e settore di business.