News

Direttiva NIS2: come adeguarsi e arrivare preparati all’entrata in vigore

Direttiva NIS2: come adeguarsi e arrivare preparati all’entrata in vigore

La Direttiva NIS2 dell’Unione europea rappresenta un passo significativo nel rafforzamento della cybersicurezza all’interno dell’UE, quantomai necessaria per sopperire alle carenze strutturali specialmente aziendali che si riscontrano e che, con la guerra alla Russia, si sono palesate maggiormente. Questa legislazione, che fa seguito alla Direttiva NIS1, mira a garantire un livello ancora più elevato di sicurezza delle reti e dei sistemi informativi nell’era digitale.

La Direttiva NIS2 è ufficialmente entrata in vigore il 17 gennaio 2023 ma niente panico, non sei in ritardo, ancora. Gli Stati membri hanno tempo fino al 17 ottobre 2024 per recepirla (ovvero, adeguarsi a quanto la Direttiva chiede). 

In primis diciamo che i fondamenti per adeguarsi sono molto simili a quelli che sono stati introdotti per il GDPR, quindi se la tua azienda si è adoperata per la nuova legge sulla privacy, potrebbe non trovare troppe difficoltà anche per questa normativa (ma se il tuo sito ha Iubenda…beh, parliamone!).

Per tua fortuna, gli Eroi del Web sono sempre pronti ad aiutarti e in questo articolo ti spieghiamo se la Direttiva riguarda anche la tua azienda e, in caso di risposta affermativa, cosa devi fare per arrivare al 17 ottobre in totale serenità. Iniziamo!

Direttiva NIS2: a chi si applica

La Direttiva NIS2 è destinata, rispetto alla precedente, a una gamma di attori molto più ampia, sia in termini di numero di soggetti sia di settori coinvolti. In particolare si applica alle organizzazioni che soddisfano due criteri:

  • aziende di grandi e medie dimensioni, ovvero con un numero di dipendenti da 50 a 250 (medie) o oltre i 250 (grandi);   
  • aziende che operano in settori considerati “essenziali” o “importanti”. L’elenco completo di questi settori si trova negli allegati I e II della Direttiva NIS2, ma per citare i principali la lista include: energia, trasporti, settore bancario e sanitario, finanza, spazio, infrastrutture digitali e gestione dei servizi TLC, settore chimico e alimentare e fornitura di servizi digitali. 

Restano escluse le organizzazioni che operano in questi ambiti ma che hanno un organico inferiore ai 50 dipendenti o che hanno un fatturato annuale minore di 10 milioni di euro.

Direttiva NIS2: cosa fare per adeguarsi

Le aziende soggette alla Direttiva NIS2 devono intraprendere una serie di azioni per garantire il pieno adeguamento alla normativa. Per semplificarti la vita, le abbiamo semplificate e suddivise in 6 punti: 

  • Valutazione dei rischi: le aziende devono condurre una valutazione approfondita dei rischi per identificare le potenziali minacce alla sicurezza dei loro sistemi informatici e delle reti (un po’ come fatto per l’audit della Privacy).
  • Implementazione di misure di sicurezza: sulla base della valutazione dei rischi, vanno poi implementate misure di sicurezza adeguate per proteggere sistemi, reti e dati da possibili minacce informatiche.
  • Nomina di un responsabile della sicurezza: se ancora non lo hai, è arrivato il momento di incaricare un responsabile della sicurezza delle informazioni che supervisioni l’attuazione delle misure del punto precedente e che e sia responsabile della conformità alla Direttiva (un po’ come fatto per la nomina del DPO).
  • Formazione del personale: oltre a un responsabile, è importante fornire una formazione continua a tutti i dipendenti su pratiche di sicurezza informatica per garantire la consapevolezza e la preparazione ad affrontare le minacce.
  • Pianificazione della risposta: è fondamentale sviluppare e implementare un piano dettagliato di risposta a eventuali incidenti di sicurezza informatica in modo tempestivo ed efficace (un po’ come fatto per le procedure in caso di data breach).
  • Monitoraggio e revisione continui: infine, le aziende devono istituire procedure di monitoraggio e revisione regolari per assicurarsi che le misure di sicurezza siano efficaci e aggiornate rispetto alle nuove minacce e all’evoluzioni normative. Qualora si rilevi un incidente, inoltre, le aziende sono obbligate a segnalarlo ai rispettivi CSIRT o alle autorità nazionali competenti. 

In conclusione, l’adeguamento alla Direttiva NIS2 dell’Unione Europea è obbligatoria per legge, ma anche fondamentale per garantire la solidità e la capacità di resilienza del tuo business di fronte ad eventuali attacchi informatici.

Stai cercando un’agenzia web che sappia accompagnarti al 17 ottobre in totale sicurezza, o meglio cybersicurezza, e tranquillità?

Orari ufficio

solo su appuntamento dal lunedì al venerdì, dalle 9:30 alle 18:00