NIS 2, verso una nuova gestione dei rischi di cybersecurity
La recente Direttiva NIS 2 si integra con le varie normative e linee guida europee in tema di protezione dati e privacy: l’obiettivo è rafforzare le misure di cybersecurity. La NIS 2 introduce significative novità come, ad esempio, un approccio multirischio e misure di sicurezza specifiche.
La Direttiva NIS 2 rappresenta un importante passo avanti nella sicurezza delle reti e delle informazioni, integrandosi con le normative europee esistenti per rafforzare le misure di cybersecurity. Questo nuovo quadro normativo, sostituendo la precedente Direttiva UE 2016/1148, impone nuovi obblighi ai soggetti "essenziali" e "importanti", con l'obiettivo di creare una strategia comune di cybersicurezza nell'Unione Europea.
Poiché si tratta di una direttiva e non di un regolamento come il GDPR, è richiesto che tutti gli Stati Membri la recepiscano, entro il 17 ottobre 2024, sviluppando piani nazionali per la sicurezza e costituendo team specializzati per attuare la direttiva.
Le misure di gestione dei rischi di cybersecurity - L'articolo 21 definisce al paragrafo 1 le linee guida per la gestione dei rischi legati alla sicurezza informatica, delineando una serie di azioni tecniche, operative e organizzative. Queste misure sono attentamente selezionate per essere adeguate e proporzionate, con l'obiettivo di affrontare in modo efficace i potenziali rischi per la sicurezza dei sistemi e delle reti informatiche.
I soggetti “essenziali” e “importanti” dovranno implementare tali misure, integrandole sia nelle loro attività quotidiane che nella fornitura dei servizi con l'obiettivo di prevenire o minimizzare gli impatti degli incidenti sulla sicurezza dei sistemi e delle reti.
Un elemento chiave introdotto dalla NIS 2 è l'approccio multirischio, che va oltre la difesa contro gli attacchi cyber tecnici, considerando anche rischi legati alle persone, agli eventi fisici e ambientali.
Questo approccio richiede una valutazione completa dei rischi, una gestione efficace delle risorse umane e dei processi interni, nonché una stretta collaborazione e condivisione delle informazioni tra gli attori coinvolti.
Inoltre, come delineato nell'articolo 21, paragrafo 2, la direttiva impone ai soggetti interessati di attuare specifiche misure di sicurezza, come: politiche di analisi dei rischi, gestione degli incidenti, continuità operativa e sicurezza della catena di approvvigionamento. È fondamentale che le aziende interessate sviluppino un Incident Plan, che includa procedure di notifica alle autorità competenti e definisca chiaramente i ruoli e le responsabilità del personale coinvolto nella gestione degli incidenti.
L’approccio di GL Consulting - Adeguarsi alla NIS 2 non è solo una questione di conformità normativa, ma rappresenta un'opportunità per introdurre una cultura della cybersicurezza in azienda e migliorare il livello complessivo di sicurezza informatica. È essenziale che le aziende e soggetti interessati comincino fin da subito a predisporre un piano di adeguamento, implementando progressivamente misure di sicurezza misurabili e fornendo formazione al personale.
L’obiettivo di GL Consulting, società che da oltre 25 anni si distingue come punto di riferimento nella consulenza aziendale in materia di protezione dei dati in ambito Privacy, Cybersecurity e altri aspetti di compliance, è quello di aiutare le aziende e gli enti ad impostare dei sistemi di gestione per la sicurezza delle informazioni. Non è necessario aspettare ottobre: GL Consulting affianca già oggi alcune imprese attraverso una consulenza mirata e completa per la NIS 2, offrendo consulenza dedicata e personalizzata sul tema.
