Entro il prossimo 17 ottobre in Italia sarà obbligatorio aver recepito le indicazioni della Direttiva NIS 2 (Network and Information Security 2 Directive). Si tratta di un insieme di norme che impongono alle organizzazioni commerciali di disporre di misure minime di sicurezza informatica.
Regole che saranno più stringenti rispetto al passato. L’obiettivo è ridurre al minimo i danni provocati dagli attacchi informatici, che negli ultimi anni hanno visto numeri in aumento esponenziale.
In pratica tutti i settori economici sono coinvolti dalla direttiva. Tra gli enti segnalati come “importanti” rientrano le aziende, pubbliche o private, che operano in o con servizi postali, gestione dei rifiuti, prodotti chimici, ricerca, alimenti, produzione e i fornitori digitali.
La NIS 2 si applica alle imprese di questi settori con un numero di dipendenti compreso tra 50 e 250 dipendenti. Oltre a questo, devono avere un fatturato annuo non superiore a 50 milioni di euro o uno stato patrimoniale non superiore a 43 milioni di euro.
Di fatto, interessa buona parte del mondo delle piccole e medie imprese italiane. Non tutte però si stanno ancora muovendo in maniera decisa su questo tema, forse non comprendendone a pieno l’importanza.
Soprattutto, la Direttiva NIS 2 impone un cambio di approccio alla cybersecurity, che non può più essere affrontata solo come gestione dei servizi IT. La sicurezza va valutata ora a livello di azienda nel suo complesso, di tutti i suoi processi operativi.
La tua azienda è pronta ad adeguarsi a questa Direttiva?
Anche noi di Guttadauro, come fornitori di tecnologia, abbiamo recepito i suoi obblighi. Per questo, ci impegniamo operare sempre nel modo più trasparente possibile verso i nostri clienti e fornitori.
E oltre a questo, aiutiamo i nostri clienti a pianificare la propria sicurezza informatica per non farsi trovare impreparati quando la Direttiva entrerà in vigore.
Cosa prevede la Direttiva
Come accennato in precedenza, la Direttiva NIS 2 “stabilisce misure volte a garantire un livello comune elevato di cibersicurezza nell’Unione in modo da migliorare il funzionamento del mercato interno“, come esordisce il testo pubblicato sulla Gazzetta Ufficiale.
Obbliga gli Stati Europei quindi a creare autorità di controllo competenti in materia. Allo stesso tempo detta regole abbastanza stringenti per tutti gli enti, pubblici o privati, che rientrano nel perimetro disegnato dalla Direttiva stessa. I criteri utilizzati sono di dimensione e tipologia di attività.
In Italia questa Direttiva dovrebbe toccare circa 15000 soggetti imprenditoriali, che a loro volta coinvolgeranno tutta la propria catena produttiva.
Le aziende sono tenute ad adottare misure tecniche, operative e organizzative per gestire i rischi sulla sicurezza di reti e servizi informativi che utilizzano nelle loro attività. Le misure sono proporzionate alle dimensioni dell’azienda. Si applicano anche anche se si erogano servizi per i propri clienti, per ridurre al minimo l’impatto degli attacchi informatici su tutta la supply chain.
Per rispettare la Direttiva, un’azienda deve mettere in atto:
- Analisi dei rischi e della sicurezza dei propri sistemi
- Una politica di gestione in caso di incidenti
- Un piano che garantisca il ripristino d’emergenza, la continuità operativa e la gestione dei back up
- Sicurezza della catena di approvvigionamento, quindi dei rapporti coi propri fornitori diretti
- Un’analisi efficace delle possibili vulnerabilità e dell’efficacia delle proprie misure di cybersicurezza
- Pratiche di base in materia di igiene informatica e formazione per il proprio personale sui temi della sicurezza informatica
- Procedure di sicurezza come crittografia dei dati o autenticazione a più fattori per gli accessi e il controllo delle identità
La Direttiva, inoltre, impone alle aziende precisi obblighi di segnalazione di incidenti significativi. Questi devono essere resi pubblici e tempestivamente comunicati ai fruitori dei propri servizi ove possano ripercuotersi negativamente sulla loro attività.
NIS 2 e la sicurezza informatica a livello di Supply Chain
La Direttiva NIS 2 porta davvero diversi cambi di paradigma rispetto alla sua prima versione, pubblicata nel 2016.
La sicurezza informatica non è più quindi un problema della “singola” azienda. Chi deve sottostare alla direttiva è infatti obbligato a garantire anche la sicurezza anche di tutta la propria catena di approvvigionamento. Di conseguenza, anche di tutti i rapporti con i propri clienti e fornitori, di cui dovranno essere identificate le vulnerabilità.
Il danno subito da una singola organizzazione, che non ha adeguatamente predisposto la propria sicurezza informatica, può infatti riflettersi anche sulle aziende clienti o fornitrici. In questo caso sarà l’azienda che ha subito l’attacco a doverne rispondere, in termini di sanzioni monetarie (anche pesanti) e amministrative.
Essere in regola con la NIS 2 è quindi necessario, ma non si tratta di un semplice obbligo di rispettare una legge.
La Direttiva impone un cambio generale della cultura della sicurezza informatica. Questa deve gioco forza diventare più efficiente in un mondo dove la tecnologia, anche in termini di minacce, è sempre in evoluzione.
È quindi una seria presa di coscienza di un problema. È la consapevolezza di vivere in un tessuto economico interconnesso, dove ognuno deve fare la propria parte.
Le soluzioni su misura di Guttadauro per adeguarti alla NIS 2
Per i motivi di cui sopra, tutte le aziende saranno chiamate a progettare in modo più completo e puntuale di tutto il proprio piano di cybersecurity. Un piano che solo un fornitore di tecnologia esperto e affidabile può essere in grado di erogare.
Guttadauro può essere l’interlocutore unico in tutto questo, un partner tecnologicamente all’avanguardia che considera la sicurezza informatica in tutte le sue sfaccettature.
Un partner che negli anni ha lavorato molto per trovare soluzioni performanti ma al tempo stesso adeguate al budget delle piccole e medie imprese. Proposte studiate per le loro specifiche esigenze e possibilità.
Contattaci per avere una consulenza su tutti i servizi che possiamo offrire.
Leggi il testo della direttiva NIS 2.
