L’Unione Europea ha introdotto la direttiva NIS 2 (Network and Information Security, Direttiva UE 2022/2555), con un aggiornamento significativo rispetto alla normativa precedente.
Il suo obiettivo? Rafforzare la sicurezza informatica, specialmente nei settori considerati critici, e garantire una risposta coordinata e tempestiva alle minacce di sicurezza in continua crescita.
Alla prossima scadenza delle prime attività richieste da parte dei soggetti coinvolti, facciamo il punto.
Cos’è la Direttiva NIS 2 in Italia?
La Direttiva EU è stata recepita in Italia con:
- “Decreto Legislativo n. 138 del 4 settembre 2024
Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148”. - Informazioni relative alla sua applicazione sono invece rinvenibili nel: “Regolamento di Esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024
recante modalità di applicazione della direttiva (UE) 2022/2555 per quanto riguarda i requisiti tecnici e metodologici delle misure di gestione dei rischi di cybersicurezza e l’ulteriore specificazione dei casi in cui un incidente è considerato significativo per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e i prestatori di servizi fiduciari”.
L’autorità competente NIS è identificata in ACN (Agenzia per la Cybersicurezza Nazionale).
Le organizzazioni, una volta compreso di rientrare tra quelle che dovranno rispondere alla norma, sono tenute a identificare un “referente “per la sicurezza già nelle prime fasi (quelle di registrazione), e successivamente anche un “sostituto del referente” (necessario per dare continuità alla reperibilità, visti gli stringenti tempi di segnalazione degli incidenti previsti).
Queste figure guideranno inoltre le attività di adeguamento.
Ma andiamo per gradi.
Il Glossario
Molti sono i nuovi termini introdotti e descritti dalla norma, all’art. 2 comma 1.
Ne segnaliamo uno per tutti, il termine TIC che si riferisce alle Tecnologie dell’Informazione e della Comunicazione.
Per tutti gli altri il glossario inserito nella Norma stessa può essere utile, nonostante i rimandi ad altri riferimenti normativi.
A chi si applica?
Nella Norma sono anche inclusi i quattro allegati dai quali è possibile desumere l’applicabilità.
Allegato I – Settori ad Alta Criticità
Settore | Sottosettore | Tipologia di Soggetto |
---|---|---|
1.Energia | a) Energia elettrica |
Impresa elettrica quale definita all'articolo 2, punto 57), della direttiva (UE) 2019/944 del Parlamento europeo e del Consiglio che esercita attività di «fornitura» quale definita all'articolo 2, punto 12), di tale direttiva Gestori del sistema di distribuzione quali definiti all'articolo 2, punto 29), della direttiva (UE) 2019/944 Gestori del sistema di trasmissione quali definiti all'articolo 2, punto 35), della direttiva (UE) 2019/944 Produttori quali definiti all'articolo 2, punto 38), della direttiva (UE) 2019/944 Gestori del mercato elettrico designato quali definiti all'articolo 2, punto 8), del regolamento (UE) 2019/943 del Parlamento europeo e del Consiglio Partecipanti al mercato dell'energia elettrica quali definiti all'articolo 2, punto 25), del regolamento (UE) 2019/943 che forniscono servizi di aggregazione, gestione della domanda o stoccaggio di energia quali definiti all'articolo 2, punti 18), 20) e 59) della direttiva (UE) 2019/944 Gestori di un punto di ricarica responsabili della gestione e del funzionamento di un punto di ricarica che fornisce un servizio di ricarica a utenti finali, anche in nome e per conto di un fornitore di servizi di mobilità |
b) Teleriscaldamento e teleraffrescamento | Gestori di teleriscaldamento o teleraffrescamento quali definiti all'articolo 2, punto 19), della direttiva (UE) 2018/2001 del Parlamento europeo e del Consiglio | |
c) Petrolio |
Gestori di oleodotti Gestori di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio Organismi centrali di stoccaggio quali definiti all'articolo 2, lettera f), della direttiva 2009/119/CE del Consiglio |
|
d) Gas |
Imprese fornitrici quali definite all'articolo 2, punto 8), della direttiva 2009/73/CE del Parlamento europeo e del Consiglio Gestori del sistema di distribuzione quali definiti all'articolo 2, punto 6), della direttiva 2009/73/CE Gestori del sistema di trasporto quali definiti all'articolo 2, punto 4), della direttiva 2009/73/CE Gestori dell'impianto di stoccaggio quali definiti all'articolo 2, punto 10), della direttiva 2009/73/CE Gestori del sistema GNL quali definiti all'articolo 2, punto 12), della direttiva 2009/73/CE Imprese di gas naturale quali definite all'articolo 2, punto 1), della direttiva 2009/73/CE Gestori di impianti di raffinazione e trattamento di gas naturale |
|
e) Idrogeno | Gestori di impianti di produzione, stoccaggio e trasporto di idrogeno | |
2.Trasporti | a) Trasporto aereo |
Vettori aerei quali definiti all'articolo 3, punto 4), del regolamento (CE) n. 300/2008 utilizzati a fini commerciali Gestori aeroportuali quali definiti all'articolo 2, punto 2), della direttiva 2009/12/CE del Parlamento europeo e del Consiglio, aeroporti quali definiti all'articolo 2, punto 1), di tale direttiva, compresi gli aeroporti centrali di cui all'allegato II, sezione 2, del regolamento (UE) n. 1315/2013 del Parlamento europeo e del Consiglio, e soggetti che gestiscono impianti annessi situati in aeroporti Operatori attivi nel controllo della gestione del traffico che forniscono un servizio di controllo del traffico aereo quali definiti all'articolo 2, punto 1), del regolamento (CE) n. 549/2004 del Parlamento europeo e del Consiglio |
b) Trasporto ferroviario |
Gestori dell'infrastruttura quali definiti all'articolo 3, punto 2), della direttiva 2012/34/UE del Parlamento europeo e del Consiglio Imprese ferroviarie quali definiti all'articolo 3, punto 1), della direttiva 2012/34/UE, compresi gli operatori degli impianti di servizio quali definiti all'articolo 3, punto 12), di tale direttiva |
|
c) Trasporto per vie d'acqua |
Compagnie di navigazione per il trasporto per vie d'acqua interne, marittimo e costiero di passeggeri e merci quali definite per il trasporto marittimo all'allegato I del regolamento (CE) n. 725/2004 del Parlamento europeo e del Consiglio, escluse le singole navi gestite da tale compagnia Organi di gestione dei porti quali definiti all'articolo 3, punto 1), della direttiva 2005/65/CE del Parlamento europeo e del Consiglio, compresi i relativi impianti portuali quali definiti all'articolo 2, punto 11), del regolamento (CE) n. 725/2004, e soggetti che gestiscono opere e attrezzature all'interno di porti Gestori di servizi di assistenza al traffico marittimo (VTS) quali definiti all'articolo 3, lettera o), della direttiva 2002/59/CE del Parlamento europeo e del Consiglio |
|
d) Trasporto su strada |
Autorità stradali quali definite all'articolo 2, punto 12), del regolamento delegato (UE) 2015/962 della Commissione responsabili del controllo della gestione del traffico, esclusi i soggetti pubblici per i quali la gestione del traffico o la gestione di sistemi di trasporto intelligenti costituiscono soltanto una parte non essenziale della loro attività generale Gestori di sistemi di trasporto intelligenti quali definiti all'articolo 4, punto 1), della direttiva 2010/40/UE del Parlamento europeo e del Consiglio |
|
3.Settore bancario | Enti creditizi quali definiti all'articolo 4, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio | |
4.Infrastrutture dei mercati finanziari |
Gestori delle sedi di negoziazione quali definiti all'articolo 4, punto 24), della direttiva 2014/65/UE del Parlamento europeo e del Consiglio Controparti centrali (CCP) quali definite all'articolo 2, punto 1), del regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio |
|
5.Settore sanitario |
Prestatori di assistenza sanitaria quali definiti all'articolo 3, lettera g), della direttiva 2011/24/UE del Parlamento europeo e del Consiglio Laboratori di riferimento dell'UE quali definiti all'articolo 15 del regolamento (UE) 2022/2371 del Parlamento europeo e del Consiglio Soggetti che svolgono attività di ricerca e sviluppo relative ai medicinali quali definiti all'articolo 1, punto 2), della direttiva 2001/83/CE del Parlamento europeo e del Consiglio Soggetti che fabbricano prodotti farmaceutici di base e preparati farmaceutici di cui alla sezione C, divisione 21, della NACE Rev. 2 Soggetti che fabbricano dispositivi medici considerati critici durante un'emergenza di sanità pubblica (elenco dei dispositivi critici per l'emergenza di sanità pubblica) di cui all'articolo 22 del regolamento (UE) 2022/123 del Parlamento europeo e del Consiglio |
|
6.Acqua potabile | Fornitori e distributori di acque destinate al consumo umano, quali definiti all'articolo 2, punto 1, lettera a), della direttiva (UE) 2020/2184 del Parlamento europeo e del Consiglio, ma esclusi i distributori per i quali la distribuzione di acque destinate al consumo umano è una parte non essenziale dell'attività generale di distribuzione di altri prodotti e beni | |
7.Acque reflue | Imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali quali definite all'articolo 2, punti da 1), 2) e 3), della direttiva 91/271/CEE del Consiglio, escluse le imprese per cui la raccolta, lo smaltimento o il trattamento di acque reflue urbane, domestiche o industriali è una parte non essenziale della loro attività generale | |
8.Infrastrutture digitali |
Fornitori di punti di interscambio internet Fornitori di servizi di sistema dei nomi di dominio (domain name system - DNS), esclusi gli operatori dei server dei nomi radice Gestori di registri dei nomi di dominio di primo livello (top level domain - TLD) Fornitori di servizi di cloud computing Fornitori di servizi di data center Fornitori di reti di distribuzione dei contenuti (content delivery network) Prestatori di servizi fiduciari Fornitori di reti pubbliche di comunicazione elettronica Fornitori di servizi di comunicazione elettronica accessibili al pubblico |
|
9.Fornitori di servizi TIC (Business-toBusiness) |
Fornitori di servizi gestiti Fornitori di servizi di sicurezza gestiti |
|
10.Spazio | Operatori di infrastrutture terrestri possedute, gestite e operate dagli Stati membri o da privati, che sostengono la fornitura di servizi spaziali, esclusi i fornitori di reti pubbliche di comunicazione elettronica |
Allegato II – Altri Settori Critici
Settore | Sottosettore | Tipologia di Soggetto |
---|---|---|
1.Servizi postali e di corriere | Fornitori di servizi postali quali definiti all'articolo 2, punto 1 bis), della direttiva 97/67/CE, tra cui i fornitori di servizi di corriere | |
2.Gestione dei rifiuti | Imprese che si occupano della gestione dei rifiuti quali definite all'articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio (1), escluse quelle per cui la gestione dei rifiuti non è la principale attività economica | |
3.Fabbricazione, produzione e distribuzione di sostanze chimiche | Imprese che si occupano della fabbricazione di sostanze e della distribuzione di sostanze o miscele di cui all'articolo 3, punti 9) e 14), del regolamento (CE) n. 1907/2006 del Parlamento europeo e del Consiglio (2) e imprese che si occupano della produzione di articoli quali definite all'articolo 3, punto 3), del medesimo regolamento, da sostanze o miscele | |
4.Produzione, trasformazione e distribuzione di alimenti | Imprese alimentari quali definite all'articolo 3, punto 2), del regolamento (CE) n. 178/2002 del Parlamento europeo e del Consiglio (3) che si occupano della distribuzione all'ingrosso e della produzione industriale e trasformazione | |
5.Fabbricazione | a) Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro | Soggetti che fabbricano dispositivi medici quali definiti all'articolo 2, punto 1), del regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio (4) e soggetti che fabbricano dispositivi medico-diagnostici in vitro quali definiti all'articolo 2, punto 2), del regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio (5) ad eccezione dei soggetti che fabbricano dispositivi medici di cui all'allegato I, punto 5), quinto trattino, della presente direttiva |
b) Fabbricazione di computer e prodotti di elettronica e ottica | Imprese che svolgono attività economiche di cui alla sezione C, divisione 26, della NACE Rev. 2 | |
c) Fabbricazione di apparecchiature elettriche | Imprese che svolgono attività economiche di cui alla sezione C, divisione 27, della NACE Rev. 2 | |
d) Fabbricazione di macchinari e apparecchiature n.c.a. | Imprese che svolgono attività economiche di cui alla sezione C, divisione 28, della NACE Rev. 2 | |
e) Fabbricazione di autoveicoli, rimorchi e semirimorchi | Imprese che svolgono attività economiche di cui alla sezione C, divisione 29, della NACE Rev. 2 | |
f) Fabbricazione di altri mezzi di trasporto | Imprese che svolgono attività economiche di cui alla sezione C, divisione 30, della NACE Rev. 2 | |
6.Fornitori di servizi digitali |
Fornitori di mercati online Fornitori di motori di ricerca online Fornitori di piattaforme di servizi di social network |
|
7.Ricerca | Organizzazioni di ricerca |
Allegato III – Amministrazioni Centrali, Regionali, Locali e di Altro Tipo
a) Amministrazioni centrali: |
1) gli Organi costituzionali e di rilievo costituzionale |
2) la Presidenza del Consiglio dei ministri e i Ministeri |
3) le Agenzie fiscali |
4) le Autorità amministrative indipendenti |
b) Amministrazioni regionali: |
1) le Regioni e le Province autonome |
c) Amministrazioni locali |
1) le Città metropolitane |
2) i Comuni con popolazione superiore a 100.000 abitanti |
3) i Comuni capoluoghi di regione |
4) le Aziende sanitarie locali |
d) altri soggetti pubblici: |
1) gli Enti di regolazione dell’attività economica |
2) gli Enti produttori di servizi economici |
3) gli Enti a struttura associativa |
4) gli Enti produttori di servizi assistenziali, ricreativi e culturali |
5) gli Enti e le Istituzioni di ricerca |
6) gli Istituti zooprofilattici sperimentali |
Allegato IV – Ulteriori tipologie di soggetti
1) Soggetti che forniscono servizi di trasporto pubblico locale |
2) Istituti di istruzione che svolgono attività di ricerca |
3) Soggetti che svolgono attività di interesse culturale |
4) Società in house, società partecipate e società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175 |
È bene inoltre considerare, come recita il Capo I, Art. 3, Comma 2, che: “Il presente decreto si applica ai soggetti delle tipologie di cui all’allegato I e II, che superano i massimali per le piccole imprese ai sensi dell’articolo 2, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE.”, ossia «si definisce piccola impresa un’impresa che occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di Euro».
Altrettanto importante è quanto riportato al Capo I, Art. 3, Comma 10:
“Il presente decreto si applica, infine, indipendentemente dalle sue dimensioni, all’impresa collegata ad un soggetto essenziale o importante, se soddisfa almeno uno dei seguenti criteri:
a) adotta decisioni o esercita una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;
b) detiene o gestisce sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
c) effettua operazioni di sicurezza informatica del soggetto importante o essenziale;
d) fornisce servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.”.
Quali sono i tempi e le principali attività?
A seguire una tabella riepilogativa dei tempi e delle azioni richieste.
Fase preliminare
Dal | Al | Chi | Azione |
---|---|---|---|
- | 31/12/2024 | Le aziende e le pubbliche amministrazioni | Devono svolgere un assessment per comprendere se siano o meno soggette agli obblighi della Direttiva NIS2, seguendo il dettato degli artt. 6 e 7, degli Allegati I, II, III e IV, nonché di ogni altro atto che verrà emanato |
- | 17/01/2025 | I fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network | Devono registrarsi sulla piattaforma resa disponibile da ACN fornendo le informazioni richieste dalla normativa |
- | 28/02/2025 | I soggetti privati e pubblici, che a seguito dell’assessment ritengano di rientrare nell’ambito di applicazione del decreto | Devono registrarsi sulla piattaforma digitale resa disponibile da ACN fornendo le informazioni richieste dalla normativa |
- | 31/03/2025 | ACN | Redige l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute attraverso la piattaforma |
01/04/2025 | 15/04/2025 | ACN | Attraverso la piattaforma, comunica ai soggetti registrati l’inserimento nell’elenco dei soggetti essenziali o importanti |
- | 15/04/2025 | I soggetti che hanno ricevuto la comunicazione | Devono nominare con un apposito atto un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto |
15/04/2025 | 31/05/2025 | I soggetti che hanno ricevuto la comunicazione attraverso la piattaforma |
Forniscono o aggiornano almeno le informazioni seguenti: a) lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto; b) ove applicabile, l’elenco degli Stati membri in cui forniscono servizi che rientrano nell’ambito di applicazione del presente decreto; c) i responsabili di cui all’articolo 38, comma 5, indicando il ruolo presso il soggetto e i loro recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono; d) un sostituto del punto di contatto di cui al comma 1, lettera c), indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono. |
Fase attuativa
Dal | Al | Chi | Azione |
---|---|---|---|
- | 01/01/2026 | Le aziende e le pubbliche amministrazioni che hanno ricevuto la comunicazione di inclusione da parte dell’ACN | Devono adempiere all’obbligo di notifica degli incidenti |
- | 01/10/2026 | Le aziende e le pubbliche amministrazioni che hanno ricevuto la comunicazione di inclusione da parte dell’ACN | Devono adempiere agli obblighi degli organi di amministrazione e direttivi |
- | 01/10/2026 | Le aziende e le pubbliche amministrazioni che hanno ricevuto la comunicazione di inclusione da parte dell’ACN | Devono adempiere agli obblighi in materia di misure di sicurezza |
- | 01/10/2026 | Le aziende e le pubbliche amministrazioni che hanno ricevuto la comunicazione di inclusione da parte dell’ACN | Devono adempiere all’obbligo di raccolta e mantenimento di una banca dei dati di registrazione dei nomi di dominio, laddove applicabile. |
Cosa viene richiesto?
Ecco, in sintesi, quello che occorre fare, riassunto per punti.
Punto | Descrizione |
---|---|
1. | Politica di sicurezza dei sistemi informativi e di rete |
1.1. | Politica di sicurezza dei sistemi informativi e di rete |
1.2. | Ruoli, responsabilità e autorità |
2. | Politica di gestione dei rischi |
2.1. | Quadro di gestione dei rischi |
2.2. | Monitoraggio della conformità |
2.3. | Riesame indipendente della sicurezza dei sistemi informativi e di rete |
3. | Gestione degli incidenti |
3.1. | Politica di gestione degli incidenti |
3.2. | Monitoraggio e registrazione |
3.3. | Segnalazione di eventi |
3.4. | Valutazione e classificazione degli eventi |
3.5. | Risposta agli incidenti |
3.6. | Riesami successivi agli incidenti |
4. | Continuità operativa e gestione delle crisi |
4.1. | Piano di continuità operativa e di ripristino in caso di disastro |
4.2. | Gestione di backup e ridondanza |
4.3. | Gestione delle crisi |
5. | Sicurezza della catena di approvvigionamento |
5.1. | Politica di sicurezza della catena di approvvigionamento |
6. | Sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete |
6.1. | Sicurezza dell'acquisizione di servizi TIC o prodotti TIC |
6.2. | Ciclo di vita dello sviluppo sicuro |
6.3. | Gestione della configurazione |
6.4. | Gestione delle modifiche, riparazioni e manutenzione |
6.5. | Test di sicurezza |
6.6. | Gestione delle patch di sicurezza |
6.7. | Sicurezza delle reti |
6.8. | Segmentazione della rete |
6.9. | Protezione da software malevoli e non autorizzati |
6.10. | Gestione e divulgazione delle vulnerabilità |
7. | Strategie e procedure per valutare l'efficacia delle misure di gestione dei rischi di cibersicurezza |
8. | Pratiche di igiene informatica di base e formazione in materia di sicurezza |
8.1. | Sensibilizzazione e pratiche di igiene informatica di base |
8.2. | Formazione in materia di sicurezza |
9. | Crittografia |
10. | Sicurezza delle risorse umane |
10.1. | Sicurezza delle risorse umane |
10.2. | Verifica dei precedenti personali |
10.3. | Procedure in caso di cessazione o modifica del rapporto di lavoro |
10.4. | Processo disciplinare |
11. | Controllo dell'accesso |
11.1. | Strategia di controllo dell'accesso |
11.2. | Gestione dei diritti di accesso |
11.3. | Account privilegiati e account di amministrazione dei sistemi |
11.4. | Sistemi di amministrazione |
11.5. | Identificazione |
11.6. | Autenticazione |
11.7. | Autenticazione a più fattori |
12. | Gestione delle risorse |
12.1. | Classificazione delle risorse |
12.2. | Gestione delle risorse |
12.3. | Politica in materia di supporti rimovibili |
12.4. | Inventario delle risorse |
13. | Sicurezza ambientale e fisica |
13.1. | Servizi pubblici di sostegno |
13.2. | Protezione da minacce fisiche e ambientali |
13.3. | Controllo dell'accesso perimetrale e fisico |
Un elenco imponente che può spaventare molti!
In realtà, sia da parte di ACN, che di altri Enti Italiani ed Europei, stanno uscendo linee guida molto ben strutturate ed in grado di aiutare ad implementare questi punti, anche se la norma stessa fornisce già le informazioni essenziali necessarie.
Chi ha dimestichezza con i Sistemi di Gestione, ed in particolare con la Norma ISO/IEC 27001:2022, noterà sicuramente una assonanza quasi totale con i temi trattati dalla Norma stessa.
E questo ci porta a due considerazioni importanti:
- Chi già possiede la certificazione ISO/IEC 27001:2022 dovrà adattare qualche elemento procedurale, identificare i referenti per il contatto con le autorità, ma sta di fatto già attuando pienamente quanto la norma richiede.
- Chi non ha la certificazione, ragioni sull’opportunità di adottarla, raggiungendo così un doppio obiettivo (rispetto normativo ed opportunità offerte dalla certificazione).
Sottolineiamo la rilevanza del punto 3, che predispone le organizzazioni ad una gestione degli incidenti, in grado di rispondere allo stringente obbligo di comunicazione degli stessi (24 ore dall’avvenuta conoscenza) alle autorità preposte, ossia il CSIRT Italia (Computer Security Incident Response Team) di ACN.
Altrettanto importante il punto 4, che ci parla della continuità operativa e di gestione delle crisi (Business Continuity e Disaster Recovery).
L’approccio previsto per definire quali servizi è molto diverso da quello normalmente attuato, e prevede una valutazione di impatto BIA (Business Impact Analisys) per determinare le priorità di protezione, i tempi di ripristino (RTO) e la quantità di dati che possono essere perduti (RPO).
Degno di nota ed attenzione il punto 5, relativo al controllo della catena di fornitura.
La speranza è che il tutto non si traduca in un’altra inutile valanga di questionari, mal predisposti ed assai poco efficaci, ma diventi veramente uno stimolo al dialogo tra i soggetti che partecipano alla fornitura, nella definizione di un piano di sicurezza concordato ed efficace.
Cosa che tra l’altro avrebbe già dovuto essere attuata per rispondere al GDPR, attraverso la definizione dei famosi Contratti ex art. 28, che si è invece trasformata in uno scambio di “modulistica fotocopia” di scarsissimo valore ai fini della sicurezza.
Come abbiamo visto, la direttiva NIS 2 rappresenta un passo avanti fondamentale per proteggere le infrastrutture digitali in Europa.
L’adeguamento richiede impegno, ma i benefici in termini di sicurezza, efficienza e reputazione sono innegabili.
Vale quindi la pena affrontare questa cogenza normativa con la convinzione che possa essere una norma che porta del reale valore aggiunto nelle attività di tutti i giorni, e non ulteriore “peso” per la gestione aziendale.
Il nostro consiglio è quello di agire con tempestività, per garantire un futuro digitale più sicuro anche alla tua organizzazione.