Dasa-Rägister

12 Dicembre 2024

Direttiva NIS 2: la cybersecurity è legge!

Direttiva NIS 2: la cybersecurity è legge!
Con la pubblicazione del D.lgs. 138/2024, avvenuta lo scorso 1° ottobre, anche l’Italia ha recepito la Direttiva UE 2022/2555(dicembre 2022) “Network and Information Security”, meglio conosciuta come “NIS 2”. L’entrata in vigore è avvenuta il 16 ottobre 2024.

La direttiva fornisce il quadro attuativo per implementare e/o migliorare le prestazioni della sicurezza, nonché per sviluppare una cultura organizzativa della resilienza in tutta l’UE. È importante ricordare che la sicurezza informatica implica anche la sicurezza delle informazioni!

La legge prevede un’articolata serie di obblighi, con relative scadenze per il 2025, che in seguito diventeranno regolari su base annua. La direttiva distingue tra settori critici e ad alta criticità, nonché tra operatori di servizi essenziali e operatori di servizi importanti.

Le quattro logiche fondamentali dell’impianto normativo sono:

– Governance => responsabilità, pianificazione, sorveglianza e formazione da parte del vertice; governance significa anche, inevitabilmente, governo dei processi (in pratica, un sistema di gestione);

– Risk management => processo di gestione del rischio in relazione alla sicurezza digitale/elettronica, comprensiva delle minacce fisiche e ambientali. Dovrà essere implementato un serio e articolato processo di incident management: entro 24 ore in caso di disastro, i soggetti coinvolti dovranno notificare l’incidente al CSIRT (Computer Security Incident Response Team);

– Catena di fornitura => la valutazione del rischio e le relative azioni di mitigazione dovranno essere estese a fornitori e partner;

– Misure tecniche, operative e organizzative => gli organi amministrativi e direttivi (la distinzione è d’obbligo) devono adottare misure adeguate alle infrastrutture, alle risorse e ai prodotti/servizi, sulla base della valutazione del rischio. Anche la formazione sarà obbligatoria per garantire che il vertice sia non solo competente ma anche consapevole.

Tra le altre cose occorrerà realizzare i piani di continuità e recupero per rispondere alle emergenze(in ottica Business Continuity). I soggetti essenziali e importanti saranno obbligati, come detto sopra, a notificare ad ACN (l’agenzia governativa per la cybersicurezza nazionale), più precisamente al CSIRT Italia, eventuali incidenti che abbiano avuto impatto sulle attività.

Come accaduto per il GDPR e altre direttive analoghe, anche la NIS 2 prevede un quadro sanzionatorio particolarmente rigoroso.

L’eventuale certificazione del SGSI (Sistema di Gestione della Sicurezza delle Informazioni) secondo la norma ISO 27001 costituirà un’ottima base di partenza, così come la certificazione del BCMS (Sistema di Gestione della Continuità Operativa) ai sensi della norma ISO 22301.

Partecipa Webinar Gratuito:
Cyber Crash e Business Continuity

Scopri la Certificazione ISO 22301

Contattaci per avere maggiori informazioni a news@dasa-raegister.com

Dasa Raegister
Dasa-Rägister Ufficio_MI_