Abstract
La Direttiva NIS2 (Network and Information Security) ha l’intento di rafforzare il livello globale di cybersicurezza all’interno degli Stati membri, al fine di garantire, soprattutto per quel che concerne le società che sono considerate Operatori di Servizi Essenziali, l’adozione di misure tecniche ed organizzative adeguate contro i rischi cyber attraverso un aumento delle capacità di resilienza aziendale su tutto il processo di gestione di tali rischi, dalla capacità di prevenire alla capacità di minimizzare l’impatto che tali incidenti possono causare.
Cosa prevede
Politiche di analisi dei rischi e di sicurezza dei sistemi informatici; (ISO27032) e la gestione degli incidenti; (ISO27035)
La continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi; (ISO22301)
La sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi; (ISO 27000-1 e ISO 20000-1)
La sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità; (ISO20000-1)
Le strategie e le procedure per valutare l’efficacia delle misure di gestione dei rischi di cyber sicurezza;
Le pratiche di informatica di base e formazione in materia di cybersicurezza;
Le politiche e le procedure relative all’uso della crittografia e, se del caso, della cifratura;
La sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
L'uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
