WTC
Servizi Informatici

La nuova direttiva sulla sicurezza cibernetica in tutta l'Unione Europea

09/01/2024

Nuove disposizioni per garantire che gli Stati membri siano pronti ad affrontare situazioni di emergenza cibernetica

La direttiva sulla sicurezza delle reti e dei sistemi informativi, nota come NIS Directive (Direttiva sulla sicurezza delle reti e dei sistemi informativi), è una normativa cruciale dell'Unione Europea (UE) incentrata sul miglioramento della sicurezza delle reti e dei sistemi informativi, in linea con la rapida trasformazione digitale e il panorama delle minacce. Essa mira a garantire un livello comune di sicurezza cibernetica in tutta l'Unione. Con un aumento del 38% dei cyberattacchi entro il 2022 (Check Point Researh), è imperativo per le entità navigare, comprendere e rispettare i suoi requisiti.


La non conformità rischia perdite finanziarie significative, in quanto gli incidenti di cybersecurity hanno un costo medio di 4,45 milioni di dollari (IBM Cost of a Data Breach Report 2023).


La NIS Directive è stata adottata nel 2016 e ha richiesto agli Stati membri di implementarla entro maggio 2018. La NIS2 è stata proposta dalla Commissione Europea nel dicembre 2020 come parte del pacchetto legislativo "Digital Services Act" e "Digital Markets Act".

La sua revisione, nota come NIS2, è un processo che mira a migliorare e adattare la normativa alle evoluzioni del panorama cibernetico e tecnologico ed attualmente è in fase di attuazione, con scadenze che evidenziano l’urgenza di conformarsi ai nuovi requisiti. Al momento non sono state fornite le date specifiche per la conformità al NIS2, ma è probabile che si applichino a partire da ottobre 2024, ma è fondamentale che le organizzazioni tengano sotto controllo gli aggiornamenti man mano che vengono annunciati.

La Direttiva sulle reti e i sistemi informativi (NIS2) copre un’ampia gamma di fornitori di servizi e aziende nell’UE, comprendendo molto di più rispetto al suo predecessore, la Direttiva NIS. È fondamentale che tutti coloro che sono potenzialmente interessati comprendano le implicazioni e adattino le loro misure di cybersecurity di conseguenza.


Le organizzazioni che rientrano nel NIS2 devono condurre sessioni di analisi del rischio regolari e approfondite per valutare la natura e il livello delle minacce che si trovano ad affrontare la loro tecnologia e i loro dati, come indicato nell’articolo 21 “Misure di gestione del rischio di cybersecurity”.
Questa solida analisi dei rischi confluisce in una politica di sicurezza informatica completa. La politica deve illustrare, in termini chiari, come ogni rischio sarà gestito e mitigato, fungendo da road map per le pratiche di gestione del rischio della sua organizzazione.


Alcuni punti chiave della proposta di NIS2 includono:
1. **Ampliamento del campo di applicazione**: La NIS2 propone di estendere la portata della direttiva ad altri settori, oltre a quelli già coperti, come l'energia, i trasporti, la sanità e altri servizi essenziali.

2. **Aumento dei requisiti di sicurezza**: La proposta cerca di rafforzare i requisiti di sicurezza per gli operatori di servizi essenziali e per i fornitori di servizi digitali.

3. **Aumento della cooperazione tra gli Stati membri**: La NIS2 promuove una maggiore cooperazione e scambio di informazioni tra gli Stati membri dell'UE per affrontare minacce cibernetiche transfrontaliere.

4. **Misure di emergenza e preparazione**: Introduce nuove disposizioni per garantire che gli Stati membri siano pronti ad affrontare situazioni di emergenza cibernetica e possano reagire rapidamente.

5. **Autorità nazionali competenti**: La proposta mira a rafforzare le autorità nazionali competenti per la sicurezza cibernetica, fornendo loro maggiori poteri e risorse.

In conclusione la direttiva NIS2 impone alle organizzazioni di avere un processo semplificato per la gestione degli incidenti, che copra tutto, dalla risposta alle minacce alla continuità operativa e al ripristino. Ciò richiede la definizione di procedure chiare per il rilevamento e la gestione delle minacce, un piano di continuità aziendale solido che guidi le azioni durante le interruzioni del servizio e una strategia di ripristino in caso di disastro che delinei le azioni di ripristino post-incidente.


Le informazioni sono la linfa vitale delle aziende moderne e NIS2 pone l’accento sulla loro gestione sicura. Le organizzazioni conformi devono mostrare procedure efficaci per la sicurezza delle informazioni, dai metodi di crittografia e canali sicuri per la trasmissione dei dati alla formazione periodica sulla cybersecurity per il personale.


Valutazioni regolari del rischio, rafforzate da solidi protocolli di autenticazione e controllo degli accessi, migliorano ulteriormente la sicurezza dei dati. Le procedure di segnalazione degli incidenti e le strategie di risposta efficaci costituiscono aspetti cruciali  conferendo una posizione proattiva sulla gestione della sicurezza delle informazioni, enfatizzando le misure di sicurezza preventive rispetto a quelle reattive, e chiedendo un cambiamento significativo nel modo in cui le organizzazioni vedono la sicurezza delle informazioni.


A nostro avviso ogni azienda deve diffondere una cultura della cybersecurity, incoraggiando un dialogo aperto sui rischi e sulle contromisure. In questa fase WTC, con le sue molteplici caratteristiche, emerge come un potente alleato per navigare con fiducia nel panorama della sicurezza dei dati in continua evoluzione e per entrare in un futuro digitale sicuro.


Il nostro team è dedicato ad assistervi nel viaggio verso la sicurezza con una consulenza completa e non vincolante per discutere di come le nostre soluzioni possano potenziare la vostra organizzazione in questa nuova era normativa.