Come adeguarsi alla direttiva NIS 2: guida per le aziende

La Direttiva NIS 2 (Network and Information Systems) rappresenta un passo fondamentale per la sicurezza informatica in Europa. Entrata in vigore nel 2025, questa normativa impone alle aziende di adottare misure rigorose per proteggere i loro sistemi informativi e di rete. In questo articolo, esploreremo cosa richiede la NIS 2 e come le aziende possono adeguarsi efficacemente.

COSA CHIEDE LA NIS 2?
La NIS 2 richiede un approccio multirischio per proteggere i sistemi informativi e di rete, includendo:

• Politiche di analisi dei rischi: implementazione di politiche per analizzare e gestire i rischi informatici.
• Gestione degli incidenti: procedure e strumenti per notificare e gestire gli incidenti di sicurezza.
• Continuità Operativa: gestione dei backup, ripristino in caso di disastro e gestione delle crisi.
• Sicurezza della Catena di Approvvigionamento: misure di sicurezza per i rapporti con fornitori e servizi.
• Sicurezza nello Sviluppo e Manutenzione: gestione delle vulnerabilità e sicurezza nello sviluppo dei sistemi.
• Valutazione dell’Efficacia delle Misure: politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi.
• Formazione e Igiene di Base: pratiche di formazione e igiene informatica.
• Uso della Crittografia: politiche relative all’uso della crittografia.
• Sicurezza e Affidabilità del Personale: politiche di controllo dell’accesso e gestione degli asset.

L’ IMPORTANZA DELLA SUPPLY CHAIN
Un aspetto cruciale della NIS 2 è l’attenzione alla sicurezza della supply chain. Le aziende devono garantire che anche i loro fornitori e partner rispettino gli stessi standard di sicurezza. Questo include:

• Valutazione delle vulnerabilità: identificazione delle vulnerabilità specifiche per ogni fornitore e servizio.
• Qualità delle pratiche di sicurezza: verifica delle pratiche di sicurezza informatica dei fornitori, comprese le loro procedure di sviluppo sicuro.
• Gestione dei rischi della supply chain: implementazione di misure adeguate per mitigare i rischi associati alla supply chain.

ADEGUAMENTO DELLA SUPPLY CHAIN
È fondamentale sottolineare che anche i membri della supply chain devono adeguarsi alla Direttiva NIS 2. Ogni fornitore e partner deve implementare le misure di sicurezza richieste per garantire la protezione dei dati e dei sistemi informativi. Questo non solo protegge l’azienda principale, ma anche l’intera rete di fornitori e servizi, creando un ambiente sicuro e resiliente.

STRUTTURA DEL RATING DI SICUREZZA INFORMATICA
Secondo Gartner, entro il 2022 i rating di sicurezza informatica diventeranno cruciali quanto i rating di credito. Il National Institute of Standards and Technology (NIST) ha sviluppato un framework di cybersecurity che fornisce un linguaggio comune per comprendere e gestire il rischio informatico. Questo framework è diviso in sei funzioni principali:

1. Governance
2. Identificazione
3. Protezione
4. Rilevamento
5. Risposta
6. Recupero

Ogni funzione è ulteriormente suddivisa in categorie e subcategorie, con un totale di 106 controlli. Ogni controllo è valutato su una scala di implementazione da TIER 0 (non attuato) a TIER 4 (adaptive).

NIS 2: COME ADEGUARSI?
Per adeguarsi alla NIS 2, le aziende possono implementare diverse attività, tra cui:

• Documentazione: creazione di documenti di contesto, pianificazione e analisi dei rischi.
• Business Continuity: piano di continuità operativa e disaster recovery.
• Formazione: programmi di formazione per tutti i dipendenti e campagne di phishing.
• Procedure di Sicurezza: implementazione di procedure per la gestione degli incidenti, la crittografia dei dati, e la sicurezza delle informazioni.

CONCLUSIONE
Adeguarsi alla Direttiva NIS 2 è essenziale per garantire la sicurezza informatica delle aziende. Implementando le misure richieste e seguendo le migliori pratiche, le aziende possono proteggere i loro sistemi informativi e di rete, garantendo continuità operativa e sicurezza per i loro clienti e partner.