Nuova proposta di legge italiana sulla NIS2 in dirittura d'arrivo

Migliori standard di sicurezza informatica per l'Europa

L'introduzione della direttiva NIS2 dovrebbe rafforzare la sicurezza informatica nell'UE, in particolare nelle infrastrutture critiche come l’energia, i trasporti e la sanità. Questo contribuirà a una migliore protezione dei dati sensibili e dei sistemi aziendali interni.

La normativa richiede un approccio a rischio multiplo basato sui seguenti principi:

• Gestione dei rischi: analisi dei rischi e implementazione di misure e strumenti di sicurezza preventivi.
• Gestione degli incidenti: creazione di un piano di risposta per riconoscere, gestire e segnalare rapidamente gli incidenti
• Gestione della governance: investimenti nella formazione del management e del personale dell’azienda.

La direttiva NIS2 mira a garantire un elevato standard comune di sicurezza nella UE. Le aziende devono analizzare i rischi, adottare misure di sicurezza adeguate, elaborare piani per la rapida individuazione e gestione degli incidenti e investire nella formazione dei propri dipendenti e dirigenti.

Estratto dalle linee guida NIS2

La nuova proposta di legge si basa sulle direttive UE e stabilisce quali misure devono essere adottate in materia di sicurezza informatica e gestione del rischio.

I principali requisiti della normativa NIS2 modificata comprendono:

• Linee guida e procedure dettagliate: le aziende sono soggette a linee guida complete su vari temi di sicurezza, tra cui il controllo degli accessi, la segnalazione degli incidenti, i test di sicurezza, la gestione delle patch e la garanzia della catena di fornitura.
• Approvazione e revisione: le linee guida devono essere approvate e riviste regolarmente dalla direzione.
• Gestione degli incidenti: creazione di una guida per la gestione degli incidenti di sicurezza indesiderati con un sistema di categorizzazione e un piano di escalation.
• Continuità operativa e gestione delle crisi: per garantire che i normali processi aziendali possano continuare dopo un incidente, è necessario riflettere su possibili attacchi e scenari di crisi e sviluppare soluzioni.
• Monitoraggio e registrazione: impostazione dei processi di monitoraggio e registrazione per identificare e rispondere agli incidenti.
• Contratti della catena di fornitura: bisogna assicurarsi che anche i fornitori e i prestatori di servizi offrano un livello di sicurezza adeguato.
• Igiene informatica di base e formazione: implementazione di misure di igiene dei dati e programmi di formazione per tutti i dipendenti.
• Minacce interne e controlli di accesso: misure di screening del personale e di formazione sulla consapevolezza dei rischi per la sicurezza.
• Identificazione dei punti fi forza: inventario delle risorse e classificazione del livello di rischio.
• Governance e monitoraggio della conformità: nomina di responsabili per la sicurezza informatica all'interno del consiglio di Amministrazione, con relazioni periodiche alla direzione aziendale.

Effetti della NIS2 per le aziende in Italia

I nuovi requisiti sono obbligatori per le aziende al di sopra di una certa dimensione che hanno sede nella UE e appartengono ai seguenti settori: trasporti, energia, approvvigionamento idrico, gestione dei rifiuti, prodotti chimici, produzione e trasformazione alimentare, sanità, finanza, servizi postali e di consegna e fornitori di servizi digitali. Ciò comporta investimenti nella struttura IT interna, la creazione di piani di gestione degli incidenti e la formazione del personale.

In sintesi, la Direttiva NIS2 impone alle aziende italiane dei settori indicati di migliorare le proprie misure di sicurezza informatica.

Il Consiglio di Amministrazione dovrà essere costantemente informato sui rischi per la sicurezza e trasmettere le conoscenze ai dipendenti. I nuovi requisiti devono essere implementati in tempo utile per evitare sanzioni e garantire la protezione alle proprie infrastrutture.