La Direttiva NIS 2 (Network and Information Security) è una normativa emanata dall’Unione Europea per rafforzare la sicurezza informatica e ridurre le vulnerabilità delle infrastrutture critiche e dei servizi essenziali nell’UE. La NIS 2 rappresenta un aggiornamento della precedente direttiva NIS (2016), con requisiti più stringenti e un campo di applicazione più ampio, introduce nuovi obblighi per rafforzare la sicurezza informatica in tutta l’Unione Europea. 
Ecco i cinque punti chiave della normativa:

1. Ampliamento degli obblighi
   Coinvolge un numero maggiore di imprese rispetto alla precedente NIS, includendo settori come energia, trasporti, finanza e sanità.
2. Responsabilità e sanzioni
   Le aziende sono obbligate a nominare responsabili della cybersecurity e possono affrontare multe significative in caso di non conformità.
3. Cooperazione rafforzata
   La direttiva mira a migliorare la collaborazione tra gli Stati membri per rispondere a incidenti di sicurezza informatica su larga scala.
4. Gestione del rischio
   Le imprese devono implementare misure tecniche e organizzative avanzate per gestire i rischi informatici.
5. Sicurezza della catena di approvvigionamento
   Nuove regole impongono la verifica della sicurezza dei fornitori critici e l’adozione di standard elevati in tutta la supply chain.

La Direttiva NIS2 si applica a:

1. Soggetti essenziali: Grandi aziende con più di 250 dipendenti che operano in settori strategici come energia, trasporti, banche, infrastrutture finanziarie, acqua e sanità. 
2. Soggetti importanti: Aziende di medie dimensioni con più di 50 dipendenti che operano in settori definiti importanti, anche se non essenziali, ma che richiedono comunque l’adozione di misure di sicurezza appropriate.

• Gestione del rischio: Le organizzazioni devono implementare misure tecniche e organizzative per ridurre i rischi informatici, inclusa la protezione della supply chain, il miglioramento della sicurezza delle reti, la gestione degli incidenti, la crittografia e il controllo degli accessi.
• Responsabilità aziendale: La NIS 2 stabilisce che la responsabilità per la gestione della sicurezza informatica ricada direttamente sui dirigenti delle aziende. Devono approvare le politiche di sicurezza, ricevere formazione adeguata e supervisionare le misure adottate. In caso di violazioni, i dirigenti possono affrontare sanzioni, che includono anche responsabilità penali e l’esclusione temporanea dalle funzioni manageriali.
• Obblighi di comunicazione: Le aziende devono avere sistemi per segnalare tempestivamente gli incidenti di sicurezza informatica. La direttiva stabilisce tempi precisi per la notifica, come l’obbligo di inviare un early warning entro 24 ore dall’incidente. Le segnalazioni devono essere comunicate alle autorità competenti e, in alcuni casi, anche ai clienti interessati.
• Continuità del business: Le imprese devono pianificare strategie per garantire la continuità operativa in caso di attacchi informatici, includendo il ripristino dei sistemi, la gestione delle emergenze e la creazione di team dedicati alla risposta agli incidenti.

L’Art. 21 della NIS2 raccomanda le seguenti  “misure tecniche e organizzative adeguate e proporzionate”  finalizzare alla gestione del rischio Cyber:

• Analisi dei rischi e policy di sicurezza delle informazioni
• Gestione completa degli incidenti
• Gestione della crisi e della continuità operativa
• Sicurezza efficace della supply chain
• Sicurezza della rete estesa
• Gestione delle vulnerabilità e divulgazione
• Policy e procedure che valutano l’efficacia della gestione del rischio di cybersicurezza
• Uso della crittografia e della cifratura
• Uso dell’autenticazione multifattore

Agger opera in piena conformità con il framework, soddisfacendo i seguenti requisiti:

• Identify
• Protect
• Detect
• 17/10/2024Respond 

17/10/2024