Da Gennaio 2023 è entrata in vigore la normativa NIS2, che regolamenta le misure tecniche, operative e organizzative alle quali le imprese devono adeguarsi per la gestione dei rischi in ambito di cybersecurity.
Quali sono le misure da adottare?
Secondo la normativa, le misure che devono essere messe in atto sono basate su un approccio “multirischio”, che mira a “proteggere i sistemi informativi e di rete e il loro ambiente fisico da incidenti” e devono comprendere almeno i seguenti elementi:
- politiche di analisi dei rischi e di sicurezza dei sistemi informativi
- gestione degli incidenti
- continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi
- sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
- strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza;
- pratiche di igiene informatica di base e formazione in materia di cibersicurezza;
- politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
- sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
- uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
OBBLIGO DI SEGNALAZIONE
La normativa prevede inoltre l’obbligo da parte di soggetti essenziali e importanti di segnalare senza indebito ritardo eventuali incidenti subiti e che hanno avuto un impatto significativo sulla fornitura dei propri servizi” al CSIRT (Compure Security Incident Responce Team), ovvero l’autorità competente.
I VANTAGGI PER LE IMPRESE
La direttiva NIS2 non deve essere vista solo come un obbligo all’adozione di queste misure, ma può essere una grande risorsa per le imprese, in quanto:
- offre linee guida in grado di mettere in sicurezza l’impresa dagli attacchi informatici;
- rafforza il controllo sui rischi e permette di affrontarli in modo preventivo;
- riduce le vulnerabilità ed evita incidenti.
Inoltre, le aziende che rispettano i criteri della NIS2 possono migliorare la loro competitività, mostrando un impegno concreto nella tutela dei dati dei propri clienti e fornitori.
NIS2: COSA FARE?
Agire tempestivamente è necessario per evitare perdita di risorse importanti e non incorrere in pericolosi stop della continuità aziendale:
- ASSESSMENT GUIDATO per registrare lo stato della sicurezza aziendale e il grado FORMATIVO e ORGANIZZATIVO dell’impresa.
- Individuazione del GRADO DI RISCHIO dell’impresa.
- Individuazione delle SOLUZIONI INFORMATICHE utili alle obbligatorietà e alla difesa del patrimonio aziendale.
- Stesura di un PIANO ORGANIZZATIVO e FORMATIVO interno per la gestione della sicurezza dell’azienda.
NIS2: è pronta la tua impresa?
