La Direttiva NIS 2 è una normativa dell'Unione Europea che ha lo scopo di migliorare la sicurezza informatica all'interno dell'UE. Si applica a tutti gli Stati membri e impone agli operatori di servizi essenziali (OSE) e agli operatori di servizi critici (OSC) l'adozione di misure di sicurezza adeguate per proteggere i propri sistemi e dati informatici.
La Direttiva NIS 2, entrata in vigore il 17 gennaio 2023, è una revisione della Direttiva NIS originale (pubblicata nel 2016) e introduce una serie di novità. Vediamo le principali.
La Direttiva NIS 2 si applica a due categorie di aziende.
Contatta il nostro team per una consulenza personalizzata.
ContattaciLa direttiva stabilisce che i soggetti obbligati devono adottare misure di sicurezza adeguate e proporzionate per gestire i rischi che minacciano i sistemi informatici e le reti che utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l'impatto degli incidenti sui destinatari dei loro servizi e su altri servizi.
In sintesi per adeguarsi alla Direttiva NIS 2, le aziende devono seguire i seguenti passaggi.
Il primo step è valutare il rischio di sicurezza a cui è esposta l'azienda, ad esempio attraverso un vulnerability assessment.
Sulla base della valutazione del rischio, le aziende devono adottare misure di sicurezza adeguate per mitigare i rischi identificati. Sarà quindi opportuno adottare una strategia risk-based o multirischio.
i soggetti devono creare un piano di risposta agli incidenti informatici (Data Breach Recovery Plan), che definisca in modo dettagliato le procedure da seguire in caso di incidente.
Il personale dell'azienda deve essere formato sulla sicurezza informatica, al fine di comprendere i rischi e le misure di sicurezza da adottare.
Le aziende hanno la responsabilità di verificare costantemente il livello di sicurezza dei propri sistema ed essere pronte ad adeguarli in tempi brevi in caso di necessità.
Le sanzioni previste per le aziende che non rispettano la Direttiva NIS 2 variano in base alla gravità dell'infrazione e possono essere pecuniarie, interdittive o di altro tipo. In Italia vengono applicate dall'Autorità Garante per la Protezione dei Dati Personali (AGPD) e prevedono:
La Direttiva NIS 2 ha avuto un notevole impatto sul panorama della sicurezza informatica. Obbligando le aziende a confrontarsi con questa tematica infatti ha portato a nuovi ragionamenti e ad un necessario aumento della consapevolezza verso una tematica sempre più fondamentale. Non si tratta però di una normativa semplice. Vediamo quindi i principali ostacoli all'implementazione efficace.
Per superare questi ostacoli, è consigliabile affidarsi a professionisti della sicurezza informatica che possano assumere il ruolo di partner in questa importante transizione.
Il team Soter affianca quotidianamente aziende operative in settori coinvolti dalla normativa, supportandole nell’introduzione dei nuovi processi con particolare attenzione all’ottimizzazione delle risorse. Oltre a possedere un profondo know-how in ambito cyber e offensive security, abbiamo una vision molto chiara del nostro ruolo di professionisti. Siamo infatti guidati dalla forte convinzione che sia necessario sviluppare una vera e propria cultura della sicurezza informatica nelle aziende. Per questo oltre ad una vasta gamma di servizi operativi, offriamo attività di formazione per i dipendenti e supporto consulenziale ai responsabili aziendali.
L'adeguamento alla Direttiva NIS 2 è un processo complesso che richiede un impegno da parte dell'azienda. Tuttavia, è un investimento necessario per proteggere i dati e i sistemi informatici.
La tua azienda non è ancora compliant al 100%? Contattaci, saremo lieti di guidarti nel tuo security journey.