Abstract
La Direttiva NIS2 (Network and Information Security) ha l’intento di rafforzare il livello globale di cybersicurezza all’interno degli Stati membri, al fine di garantire, soprattutto per quel che concerne le società che sono considerate Operatori di Servizi Essenziali, l’adozione di misure tecniche ed organizzative adeguate contro i rischi cyber attraverso un aumento delle capacità di resilienza aziendale su tutto il processo di gestione di tali rischi, dalla capacità di prevenire alla capacità di minimizzare l’impatto che tali incidenti possono causare.
Cosa prevede la direttiva
politiche di analisi dei rischi e di sicurezza dei sistemi informatici; ( ISO27032 ) e la gestione degli incidenti; ( ISO 27035 )
La continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi; (ISO 22301)
La sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi; (ISO 27000-1 e ISO 20000-1)
La sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità; ( ISO 20000-1)
Le strategie e le procedure per valutare l’efficacia delle misure di gestione dei rischi di cyber sicurezza;
Le pratiche di informatica di base e formazione in materia di cybersicurezza;
Le politiche e le procedure relative all’uso della crittografia e, se del caso, della cifratura;
La sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
L'uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
Chi deve ottemperare?
Oltre agli operatori privati dei settori ritenuti “essenziali” dall’Unione europea, ovvero quelli dell’energia, dei trasporti, delle banche, delle infrastrutture dei mercati finanziari, dell’acqua potabile, della sanità e delle infrastrutture digitali (che comunque rimarranno soggetti alla Direttiva NIS fino alla sua abrogazione), la NIS 2 si applicherà anche ai fornitori di servizi digitali che operano nei seguenti settori, anch’essi ormai essenziali: e-commerce, motori di ricerca, cloud computing, gestione servizi ICT.
Inoltre sono coinvolte quegli enti che operano in: fabbricazione di rimorchi, fabbricazione di dispositivi medici, produzione di sostanze chimiche, nella produzione e distribuzione nel settore alimentare, fabbricazione nel settore delle apparecchiature elettriche ed elettroniche, prodotti di ottica, fabbricazione di computer, enti di ricerca, gestione dei rifiuti, servizi postali e corrieri.