Nuovi obblighi di cyber sicurezza per le aziende entro il 2024
L'aumento esponenziale del rischio cyber negli ultimi ha indotto i legislatori nazionali ed europei ad innalzare le difese contro le minacce informatiche. La nuova Direttiva NIS2, approvata alla fine dello scorso anno dal Parlamento europeo, è lo strumento legislativo individuato per aumentare i sistemi di sicurezza e la resilienza di un numero sempre crescente di settori produttivi e di erogazione servizi.
Il nuovo regolamento supera l'eccessiva genericità della precedente norma, ampliando i settori di applicazione a nuovi ambiti quali:
- servizi digitali, ad esempio piattaforme di cloud computing, data center, content delivery network provider, servizi di comunicazione elettronica e di reti di comunicazione elettronica;
- servizi sanitari, società farmaceutiche, produttori di dispositivi medici ed erogatori di servizi sanitari;
- servizi di produzione, trasformazione e distribuzione di cibo, ivi comprese le imprese della grande distribuzione
I settori non coinvolti da questa direttiva sono ormai molto limitati. Gli obblighi definiti dalla NIS2 sono dettagliati e stringenti: le aziende coinvolte devono dimostrare di adottare politiche e strategie di sicurezza adeguate al contesto attuale.
Gli Obblighi : Gli attori coinvolti hanno l'obbligo di sviluppare ed implementare una serie di azioni e tecnologie riassumibili in 10 punti:
- policy sull'analisi dei rischi e sulla sicurezza dei sistemi informativi;
- sistemi di gestione degli incidenti;
- sistemi di continuità aziendale, come la gestione dei backup e il disaster recovery, e la gestione delle crisi;
- misure di gestione della sicurezza della catena di fornitura;
- la sicurezza nell'acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità;
- politica e procedura per valutare l'efficacia delle misure di gestione del rischio di sicurezza informatica;
- pratiche di igiene informatica di base, regole fondamentali per garantire la cybersecurity e formazione in materia di sicurezza informatica;
- policy e procedura relativa all'uso della crittografia e, se del caso, della cifratura crittografia;
- misure sulla sicurezza delle risorse umane, le politiche di controllo degli accessi e la gestione degli asset;
- l'uso di soluzioni di autenticazione a più fattori [o di autenticazione continua, di comunicazioni vocali, video e di testo protetto e di sistemi di comunicazione di emergenza protetti all'interno dell'entità, ove opportuno.
La Commissione europea è al lavoro per definire i requisiti tecnici e metodologici applicabili alle misure che dovranno essere adottate in ottemperanza al nuovo regolamento. La Direttiva NIS2 prevede un obbligo di notifica al CSIRT e alle autorità competenti, senza ritardo, di qualsiasi incidente che può avere un impatto significativo sulla fornitura di un servizio, e probabilità che la notifica debba avvenire anche a beneficio dei destinatari del servizio impattato dal cyber attacco, con indicazione delle misure che detti destinatari devono adottare per reagire all'attacco.
Fornitori: La direttiva pone l'accento, in maniera molto marcata, anche sul ruolo dei fornitori: nell'analisi della adeguatezza delle misure di sicurezza si dovrà tener conto anche delle misure adottate dai fornitori delle società rientranti nell'ambito della Direttiva NIS2, perché gli obblighi in materia di cybersecurity si estendono anche a loro.
Sanzioni: Nel caso in cui un'azienda non si conformi agli obblighi della direttiva NIS2, è prevista la possibilità di sospenderne l'attività e di imporre specifici divieti; inoltre sono previste sanzioni fino a € 10 milioni o al 2% del fatturato globale dell'anno precedente in caso di società essenziali, mentre sanzioni fino a € 7 milioni o al 1,7% del fatturato globale in caso di società importanti.
Il ruolo dei Provider di Servizi Cyber Security: Se da un lato le misure adottate sono assolutamente in linea con i tempi e indispensabili per contrastare il cyber crime, è comprensibile anche la preoccupazione di molte aziende, che si vedono costrette ad affrontare una questione molto sfidante , che presuppone uno sforzo importante in termini di competenze, tempo e risorse. I fornitori di servizi di sicurezza farsi trovare pronti ad accettare la sfida devono: possono recitare un ruolo determinante per supportare le imprese nel raggiungimento delle conformità richieste, garantendo un presidio continuo e consentendo loro di concentrare i loro sforzi sul proprio business e sulla creazione di valore .
Fonte: https://www.agendadigitale.eu/sicurezza/direttiva-nis2-approvata-i-nuovi-obblighi-di-cyber-sicurezza-per-le-aziende/