DIRETTIVA NIS2: POTENZIARE LA CYBERSECURITY EUROPEA PER IL FUTURO

La Direttiva NIS2, adottata nel 2022 ed in vigore dal 17 gennaio 2023, dovrà essere recepita dai singoli paesi entro il 17 ottobre 2024.

Questa normativa rappresenta un’evoluzione della precedente Direttiva NIS: promuove una cultura della sicurezza informatica e incentiva una responsabilità condivisa nella gestione dei rischi e nella adozione di misure contro attacchi che diventano sempre più sofisticati.

La NIS2 risponde ai rapidi progressi tecnologici e all’escalation delle minacce informatiche, ampliando l’ambito di applicazione e introducendo requisiti normativi più rigorosi.

La Direttiva impone alle imprese i seguenti obblighi:

  • Analizzare e valutare i rischi di sicurezza dei sistemi informativi
  • Gestire gli incidenti di sicurezza informatica con un piano e un monitoraggio continuo
  • Dotarsi di un piano di gestione delle attività e di continuità del business
  • Testare regolarmente la sicurezza dell’infrastruttura IT
  • Assicurare la sicurezza delle supply chain

Settori di Riferimento e Classificazione delle Entità:

Il cliente ha richiesto una soluzione che fosse efficace e allo stesso tempo semplice da utilizzare.

L’obiettivo della Direttiva NIS2 è garantire un elevato livello di cybersecurity in tutti gli Stati membri, assicurando che le infrastrutture digitali siano resilienti contro gli attacchi informatici. La NIS2 estende la sua portata a un numero maggiore di entità, ampliando i settori considerati essenziali, tra cui l’energia, i trasporti, i mercati finanziari, le infrastrutture digitali, l’amministrazione pubblica e lo spazio.

La Direttiva classifica le entità in due gruppi:

  • Essenziali
  • Importanti

Le entità ‘Essenziali’ devono conformarsi a requisiti di sicurezza più rigorosi a causa del loro ruolo cruciale nella società, mentre le entità ‘Importanti’ sono soggette a obblighi meno stringenti, pur svolgendo un ruolo significativo nell’ecosistema cyber dell’UE.

Settori Essenziali e Importanti soggetti alla Direttiva NIS2
Credits to: https://www.cyberacademy.online/blog/nis2-in-cosa-consiste-e-perche-e-importante

Implicazione per Aziende e Governi

Le organizzazioni soggette alla Direttiva devono condurre una valutazione dettagliata delle proprie politiche e procedure di sicurezza informatica, e allo stesso tempo investire nella formazione e nelle tecnologie necessarie.

La Direttiva NIS2 impone ai governi di istituire o potenziare i quadri nazionali di cybersecurity, compresa la nomina delle autorità competenti, la formazione dei team di risposta agli incidenti informatici (CSIRT) e lo sviluppo di strategie nazionali per la sicurezza informatica.

Sanzioni

Le entità soggette alla NIS2 devono tenere presente le seguenti sanzioni nel caso di non conformità alla Direttiva: per le entità Essenziali, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale, a seconda di quale delle due cifre sia superiore. Per le entità Importanti, le sanzioni possono arrivare fino a 7 milioni di euro o all’1,4% del fatturato annuo globale, sempre in base a quale delle due cifre sia superiore.

La Direttiva NIS2 sottolinea l’importanza di combinare una condotta reattiva con una componente proattiva, poiché sarà quasi impossibile rimanere indenni dagli attacchi dei cybercriminali.

La Soluzione di Cinetix:

Cinetix propone un approccio innovativo su tutta la filiera, grazie anche alla competenza di partner specialistici:

  • Parte dall’analisi della situazione esistente
  • Evidenzia le non conformità ed i gap di compliance
  • Definisce un piano di implementazione della Direttiva
  • Suggerisce le soluzioni più idonee sia come procedure da seguire che di natura tecnologica (quali regole di criptazione, intelligenza artificiale, machine learning, analisi e supervisione del traffico DNS).

Questo approccio di terzialità da parte di Cinetix (con focus sulle esigenze ed identificazione della “migliore soluzione”) accompagnato ad un controllo periodico, permette di innalzare in modo significativo i livelli di sicurezza delle aziende.