Ad ottobre in arrivo dalla Unione europea nuove misure cybersecurity obbligatorie, volte a proteggere ulteriormente i dati delle aziende e delle organizzazioni che li gestiscono. Si tratta della direttiva Nis2, un’evoluzione della Nis1, che si applicherà non solo alle aziende operanti nei settori altamente critici ed essenziali, ma anche ai soggetti operanti in ambiti differenti.
Dovranno osservare la nuova normativa le aziende medie (dai 50 ai 250 dipendenti), grandi (oltre i 250 dipendenti) e dovrà essere considerata l’intera catena di approvvigionamento, a prescindere dalle dimensioni delle aziende fornitrici. Sono escluse dall’applicazione della nuova direttiva le imprese con meno di 50 dipendenti o quelle che hanno un fatturato annuo inferiore ai 10 milioni, a meno che non siano di importanza critica per la società.
«È una scadenza importante e strategica ancora poco o per nulla conosciuta», spiega Cristian Feregotto, capogruppo Telecomunicazioni e Informatica di Confindustria Udine e amministratore di Infostar, l’azienda che da 25 anni accompagna le imprese nei processi di digitalizzazione e cybersecurity. «La direttiva- prosegue l’imprenditore esperto- prevede che le organizzazioni e le aziende intervengano su 10 punti ed è fatto obbligo di segnalare tempestivamente gli incidenti informatici e le criticità annesse sul portale Csirt, Computer security incidentresponse team». I dieci ambiti di intervento sono: risk management, gestione incidenti, business continuity, supply chain, sicurezza dei sistemi, strategie cyber, formazione, crittografia, sicurezza del personale e autenticazione a più fattori.
Nis2 intende migliorare la cybersecurity a livello Ue; aumentare la resilienza dei settori critici, come energia, trasporti, sanità, finanza, acqua e fornitori di infrastrutture digitali; stabilire una cooperazione più stretta tra Stati; imporre obblighi di sicurezza alle organizzazioni in termini di gestione del rischio informatico e notifica di incidenti. «In sintesi- sottolinea Feregotto- Nis2 è un pilastro fondamentale per la cybersecurity in Europa, poiché obbliga le organizzazioni a implementare standard più elevati di sicurezza informatica e a collaborare a livello europeo per affrontare le minacce sempre più sofisticate nel panorama digitale».In questo complesso scenario, Infostar, con i suoi partner, è in grado di seguire le aziende in questo importante percorso, anche con un primo incontro gratuito.
La direttiva Nis2 è entrata in vigore il 16 gennaio 2023, ma gli Stati membri dell’Unione Europea hanno tempo fino al 17 ottobre 2024 per recepirla nella loro legislazione nazionale. Ciò significa che, entro quella data, ogni Stato membro deve aver adottato le misure legislative, regolamentari e amministrative necessarie per conformarsi alla direttiva.
La Nis2 ha un impatto diretto sulla cybersecurity perché:
Impone alle organizzazioni di adottare misure preventive per mitigare i rischi legati alla sicurezza informatica.
Le aziende devono attuare misure tecniche e organizzative adeguate per proteggere le reti e i sistemi informativi, come la gestione delle vulnerabilità, la sicurezza delle comunicazioni, il controllo degli accessi e la risposta agli incidenti.
La direttiva stabilisce che le organizzazioni devono avere piani di risposta agli incidenti di cybersecurity e notificarli tempestivamente alle autorità competenti.
La NIS2 promuove una condivisione delle informazioni più efficace tra gli Stati membri per contrastare meglio le minacce informatiche globali.
La Nis2 introduce sanzioni più severe per le organizzazioni che non rispettano i requisiti di sicurezza informatica, allineandosi alla logica del Gdpr (General Data Protection Regulation). Le sanzioni possono essere significative, incentivando le imprese a investire in soluzioni di cybersecurity avanzate.
Scadenze che giungono a ridosso della edizione 2024 del ‘Digital security festival’, l’appuntamento nato a Udine e ora divenuto itinerante a livello nazionale «per la sicurezza informatica spiegata semplice» che prenderà avvio il 18 ottobre online e in diverse sedi in Italia. Al Festival saranno presenti fino a 30 partner e ben 50 relatori per la divulgazione della cultura digitale, della sicurezza e per l’insegnamento delle basi per proteggere i dispositivi a casa, a scuola e nelle aziende.
Ugo Santocchio
