HomeIco

Home

 InternalIco

Internal

 GlobalIco

Global

 ContattoIco

Contatto
it

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.
Temi Decreto NIS2: la cybersicurezza come pilastro dell'innovazione e nuovi obblighi per le imprese

Decreto NIS2: la cybersicurezza come pilastro dell'innovazione e nuovi obblighi per le imprese

PrintMailRate-it

​​​​​​​​​​​Ultimo aggiornamento del 4.10.2024 | Tempo di lettura ca. 5 minuti​​​​


La cybersecurity sarà la colonna portante di tutta la spinta innovativa e tecnologica che affronteremo nei prossimi mesi e che cambierà il modo in cui le aziende si approcceranno ai dati personali e alle informazioni.

La rivoluzione culturale iniziata con il GDPR nel 2018 con il principio di accountability, la cosiddetta “responsabilizzazione”, infatti, trova la sua replica nelle nuove normative sulla cybersicurezza, che non è mai stato un tema così urgente e cruciale per le realtà produttive di aziende e organizzazioni operanti in molteplici settori:  
  • sanitario e di ricerca;
  • energia;
  • Pubblica Amministrazione;
  • telecomunicazioni e servizi digitali;
  • trasporti;
  • bancario e finanziario;
  • servizi di produzione e distribuzione;
  • assicurativo e di intermediazione.

È questo il quadro normativo in cui, il prossimo 16 ottobre, entrerà ufficialmente in vigore il Decreto Legislativo n. 138 del 4 settembre 2024 in materia di “Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148”. Tale Decreto, infatti, recepisce in Italia la Direttiva UE 2022/2555 “Network and Information Security Directive 2”, comunemente nota come “NIS2”, che rappresenta un'evoluzione della precedente direttiva NIS, introducendo nuove misure ed obblighi rigorosi per molteplici imprese ed organizzazioni in ambito cybersecurity, al fine di incrementare il livello comune di sicurezza informatica nell'UE nonché, con il nuovo Decreto, a livello nazionale.

Il nuovo Decreto Legislativo abbraccerà in toto l’approccio di natura risk based che le organizzazioni ormai ben conoscono in ambito privacy, e che diventerà un vero e proprio mantra per le stesse nel rafforzare la sicurezza delle proprie infrastrutture c.d. “critiche” e migliorare la propria resilienza operativa, con una forte enfasi sulla conformità e la trasparenza, anche nei confronti delle autorità verso cui la nuova norma prevede flussi di comunicazioni dettagliati e stringenti in caso di incidenti informatici. Pena, sanzioni importanti per le violazioni accertate, che vanno fino a 10.000.000 di Euro o 2 per cento del totale del fatturato annuo su scala mondiale per l'esercizio precedente dell’organizzazione. Insomma, proprio come per la normativa privacy, per le aziende diventerà essenziale dotarsi quanto prima di un vero e proprio “Modello Organizzativo Cyber”. Ma vediamo come dal punto di vista tecnico. 

Come prepararsi alla NIS2?​

È importante che le imprese ed organizzazioni si preparino alla NIS2 per garantire la resilienza delle loro infrastrutture, proteggere i dati (ricordiamo, non necessariamente dati personali) e ridurre il rischio di incidenti informatici, adeguandosi così alla normativa e assicurando la continuità operativa. È essenziale una pianificazione accurata, poiché l'implementazione delle diverse misure richiede tempo e budget; prima si entra nell'ottica dell'adeguamento, meglio si potrà gestire e programmare.

Obblighi di sicurezza informatica secondo la NIS2: un approccio normativo rigoroso​

Anziché delegare la responsabilità dell'adozione delle migliori pratiche ai soggetti essenziali ed importanti, la nuova normativa NIS2 addotta un approccio normativo più rigoroso, imponendo di implementare un elenco minimo di misure fondamentali per la sicurezza informatica. Queste misure comprendono:
Politiche di analisi dei rischi e di sicurezza dei sistemi informatici al fine di poter valutare le avversità cyber che potrebbero verificarsi, le conseguenze che potrebbero comportare qualora si dovessero concretizzare e le regole da adottare a protezione dei propri sistemi, dati, infrastrutture tecnologiche e servizi;
  • Piano di risposta agli incidenti per poter reagire prontamente in caso di incidente cyber definendo ruoli e responsabilità, strategie per identificare e segnalare gli incidenti con la necessaria rapidità (comprese le comunicazioni verso gli stakeholders), e le azioni per il contenimento e ripristino;
  • Piani di Business Continuity (continuità operativa) e Disaster Recovery (ripristino in caso di disastro come incendi o attacchi ransomware su vasta scala) che comprendano backup regolari e loro periodica verifica, nonché procedure per il pronto ripristino dei sistemi più critici. Questi piani devono essere affiancati da un efficace piano di crisis management (gestione delle crisi) per garantire la continuità delle operazioni durante e dopo l’incidente;
  • Sicurezza della Supply Chain (catena di approvvigionamento) a garanzia del rispetto delle misure di sicurezza da parte dei fornitori e dei sub-fornitori, su cui sia il nuovo Decreto che la Direttiva NIS2 pongono particolare attenzione;
  • Gestione del ciclo di vita dei sistemi che integri gli aspetti di sicurezza relativi all’acquisizione, allo sviluppo e alla manutenzione, con l’obiettivo di assicurare l'assenza di vulnerabilità note, incorporare misure di sicurezza durante le fasi di progettazione e sviluppo, e implementare un piano di Vulnerability Management;
  • Valutazione dell'efficacia delle misure di cybersicurezza tramite l’esecuzione periodica di attività di Penetration Testing;
  • Pratiche di igiene informatica di base e formazione in materia di cybersicurezza inclusa l’adozione di best practices per l'uso di password sicure, strategie per una navigazione web protetta e campagne di sensibilizzazione e formazione rivolte a dipendenti e collaboratori;
  • Politiche sull'uso della crittografia al fine di proteggere la confidenzialità e l’integrità dei dati e dei sistemi: sul punto, ricordiamo che già l’Agenzia per la Cybersicurezza Nazionale (ACN), in collaborazione con il Garante Privacy, nel dicembre 2023 ha emanato specifiche linee guida in materia;
  • Sicurezza delle risorse umane, controllo dell'accesso e gestione degli attivi attraverso l’applicazione dei principi di need to know (necessità di sapere), least privilege (privilegio minimo), segregation of duties (segregazione dei compiti) o Role Based Access Control (Controllo degli accessi basato sul ruolo);
  • Utilizzo di più fattori di autenticazione per le utenze privilegiate e gli amministratori di sistema.

Il metodo per adeguamento NIS2​: Assessment, Gap Analysis, Remediation e Implementation

Un metodo strutturato in tre fasi può essere adottato per fornire alle aziende assistenza e consulenza da parte di professionisti specializzati e certificati in ambito Cybersecurity e Privacy. Tale metodo deve prevedere un approccio sistematico che inizia con un'attività di Assessment per valutare lo stato attuale (As-Is) verificando quali requisiti NIS2 l'azienda deve ancora implementare o implementare in maniera più efficace (Gap Analysis). Infine, si procede alla selezione di uno o più framework o standard di cybersecurity, come ad esempio l'ISO27001, il NIST CFS o il CIS Controls, per individuare come raggiungere i requisiti minimi fissati dalla direttiva e culminare nel processo di Remediation e Implementation per la ‘messa a terra’ delle azioni necessarie.

In questo contesto, è fondamentale integrare il ciclo di Deming (PDCA), che offre un modello efficace per il miglioramento continuo delle pratiche di cybersecurity. Questo approccio ciclico assicura che l'azienda non solo raggiunga i requisiti normativi previsti dalla direttiva NIS2, ma possa anche adattarsi e migliorare nel tempo, affrontando in modo proattivo le sfide emergenti nel panorama della sicurezza cyber.

autore

Contact Person Picture

Martina Ortillo

Avvocato

Manager

+39 02 6328 841

Invia richiesta

Profilo

Contact Person Picture

Andrea Marchi

Cyber & Information Security Expert

+39 02 6328 841

Invia richiesta

Profilo

i nostri servizi
Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu