Nell’ultimo articolo abbiamo visto quali aziende saranno chiamate a breve ad applicare la Direttiva (UE) 2022/2555, nota come “Direttiva NIS 2”, avente quale l’obiettivo di raggiungere una strategia cyber comune a tutti gli stati membri, aumentando i livelli di sicurezza dei servizi digitali in tutta l’area UE. 

QUALI SONO I NUOVI ADEMPIMENTI? 

I soggetti che ricadono nel perimetro della direttiva dovranno innalzare i propri livelli di cybersicurezza. La direttiva indica le misure di gestione del rischio di cibersicurezza delineando tre principali aree di intervento: governance, risk management e verifica della supply chain. In estrema sintesi: 

  1. GOVERNANCE DELLA SICUREZZA INFORMATICA

1.1. Coinvolgimento del Management 

  • Responsabilità dei dirigenti: Assicurare che il consiglio di amministrazione e il top management siano attivamente coinvolti nella supervisione delle politiche di sicurezza informatica. 
  • Formazione obbligatoria: I dirigenti devono ricevere formazione adeguata sui rischi informatici e le misure di mitigazione. 
  • Relazioni periodiche: Implementare procedure per la creazione di rapporti periodici sulla sicurezza informatica, destinati al management. 

1.2. Struttura Organizzativa 

  • Definizione dei ruoli: Designare un responsabile della sicurezza informatica (CISO) e definire chiaramente i ruoli e le responsabilità in tutta l’organizzazione. 
  • Politiche e procedure: Creare e mantenere politiche di sicurezza informatica che coprano tutte le aree critiche dell’organizzazione. 

1.3. Cultura della Sicurezza 

  • Sensibilizzazione interna: Promuovere una cultura della sicurezza attraverso campagne di sensibilizzazione e formazione continua per tutti i dipendenti. 
  • Coinvolgimento a tutti i livelli: Assicurare che ogni dipendente comprenda il proprio ruolo nella protezione dei dati e dei sistemi aziendali. 

 

  1. GESTIONE DEI RISCHI INFORMATICI (RISK MANAGEMENT)

2.1. Valutazione dei Rischi 

  • Identificazione dei rischi: Eseguire valutazioni periodiche per identificare i rischi associati a sistemi, dati e processi critici. 
  • Classificazione dei rischi: Prioritizzare i rischi in base alla loro gravità e probabilità di occorrenza. 

2.2. Misure di Sicurezza Tecniche e Organizzative 

  • Implementazione di controlli: Adottare misure di sicurezza adeguate come cifratura, autenticazione multifattoriale, gestione delle vulnerabilità e backup regolari. 
  • Monitoraggio continuo: Stabilire sistemi di monitoraggio per rilevare anomalie e potenziali attacchi in tempo reale. 

2.3. Piani di Risposta agli Incidenti 

  • Preparazione alla risposta: Sviluppare e mantenere un piano di risposta agli incidenti che includa procedure di comunicazione, recupero e mitigazione. 
  • Test e simulazioni: Condurre regolarmente simulazioni di incidenti per valutare l’efficacia dei piani di risposta e apportare miglioramenti. 

 

  1. VERIFICA E GESTIONE DELLA SUPPLY CHAIN

3.1. Valutazione dei Fornitori 

  • Due diligence: Effettuare valutazioni di sicurezza sui fornitori e partner prima di stabilire relazioni contrattuali. 
  • Verifica continua: Monitorare costantemente i fornitori per assicurarsi che rispettino gli standard di sicurezza definiti. 

3.2. Clausole Contrattuali 

  • Integrazione di clausole: Includere nei contratti clausole specifiche che obblighino i fornitori a mantenere un determinato livello di sicurezza informatica. 
  • Controllo del rispetto delle clausole: Stabilire procedure per verificare il rispetto di tali clausole durante tutta la durata del contratto. 

3.3. Gestione dei Rischi della Supply Chain 

  • Mappatura della supply chain: Identificare i fornitori critici e i potenziali punti di vulnerabilità lungo la catena di approvvigionamento. 
  • Piani di continuità: Creare piani di continuità operativa che tengano conto di interruzioni o compromissioni della supply chain. 

 

  1. NOTIFICA DEGLI INCIDENTI DI SICUREZZA

4.1. Obblighi di Notifica 

  • Segnalazione tempestiva: In caso di incidente significativo, notificare l’autorità competente entro 24 ore con un report iniziale. 
  • Report dettagliato: Fornire un report completo entro 72 ore dall’incidente, contenente analisi dettagliate e misure correttive. 

4.2. Comunicazione con le Autorità 

  • Cooperazione: Collaborare con le autorità nazionali durante le indagini e seguire le loro indicazioni. 
  • Documentazione degli incidenti: Tenere una documentazione dettagliata di tutti gli incidenti e delle misure di risposta adottate. 
  1. SUPERVISIONE E CONFORMITÀ

5.1. Audit e Controlli 

  • Audit periodici: Prevedere audit interni ed esterni per verificare la conformità alle disposizioni della NIS2. 
  • Rapporti di conformità: Preparare e mantenere rapporti di conformità che dimostrino l’adesione alle normative. 

 

COSA SUCCEDE IN CASO DI VIOLAZIONE? 

Le sanzioni sono proporzionate alla gravità della violazione e sono simili a quelle previste dal GDPR. Ad esempio: 

Sanzioni Amministrative: per le entità essenziali fino a 10 milioni di euro o al 2% del fatturato globale annuo dell’organizzazione, se superiore; per le entità importanti: Fino a 7 milioni di euro o al 1,4% del fatturato globale annuo, se superiore. 

Sanzioni Non Pecuniarie: in casi gravi, le autorità possono disporre la sospensione temporanea delle attività dell’organizzazione interessata. 

Responsabilità personale: le persone fisiche, come i membri del management, possono essere ritenute direttamente responsabili per la mancata adozione delle misure richieste, con conseguenti sanzioni specifiche. 

Nell’ultimo articolo abbiamo visto quali aziende saranno chiamate a breve ad applicare la Direttiva (UE) 2022/2555, nota come “Direttiva NIS 2”, avente quale l’obiettivo di raggiungere una strategia cyber comune a tutti gli stati membri, aumentando i livelli di sicurezza dei servizi digitali in tutta l’area UE. 

QUALI SONO I NUOVI ADEMPIMENTI? 

I soggetti che ricadono nel perimetro della direttiva dovranno innalzare i propri livelli di cybersicurezza. La direttiva indica le misure di gestione del rischio di cibersicurezza delineando tre principali aree di intervento: governance, risk management e verifica della supply chain. In estrema sintesi: 

  1. GOVERNANCE DELLA SICUREZZA INFORMATICA

1.1. Coinvolgimento del Management 

  • Responsabilità dei dirigenti: Assicurare che il consiglio di amministrazione e il top management siano attivamente coinvolti nella supervisione delle politiche di sicurezza informatica. 
  • Formazione obbligatoria: I dirigenti devono ricevere formazione adeguata sui rischi informatici e le misure di mitigazione. 
  • Relazioni periodiche: Implementare procedure per la creazione di rapporti periodici sulla sicurezza informatica, destinati al management. 

1.2. Struttura Organizzativa 

  • Definizione dei ruoli: Designare un responsabile della sicurezza informatica (CISO) e definire chiaramente i ruoli e le responsabilità in tutta l’organizzazione. 
  • Politiche e procedure: Creare e mantenere politiche di sicurezza informatica che coprano tutte le aree critiche dell’organizzazione. 

1.3. Cultura della Sicurezza 

  • Sensibilizzazione interna: Promuovere una cultura della sicurezza attraverso campagne di sensibilizzazione e formazione continua per tutti i dipendenti. 
  • Coinvolgimento a tutti i livelli: Assicurare che ogni dipendente comprenda il proprio ruolo nella protezione dei dati e dei sistemi aziendali. 

 

  1. GESTIONE DEI RISCHI INFORMATICI (RISK MANAGEMENT)

2.1. Valutazione dei Rischi 

  • Identificazione dei rischi: Eseguire valutazioni periodiche per identificare i rischi associati a sistemi, dati e processi critici. 
  • Classificazione dei rischi: Prioritizzare i rischi in base alla loro gravità e probabilità di occorrenza. 

2.2. Misure di Sicurezza Tecniche e Organizzative 

  • Implementazione di controlli: Adottare misure di sicurezza adeguate come cifratura, autenticazione multifattoriale, gestione delle vulnerabilità e backup regolari. 
  • Monitoraggio continuo: Stabilire sistemi di monitoraggio per rilevare anomalie e potenziali attacchi in tempo reale. 

2.3. Piani di Risposta agli Incidenti 

  • Preparazione alla risposta: Sviluppare e mantenere un piano di risposta agli incidenti che includa procedure di comunicazione, recupero e mitigazione. 
  • Test e simulazioni: Condurre regolarmente simulazioni di incidenti per valutare l’efficacia dei piani di risposta e apportare miglioramenti. 

 

  1. VERIFICA E GESTIONE DELLA SUPPLY CHAIN

3.1. Valutazione dei Fornitori 

  • Due diligence: Effettuare valutazioni di sicurezza sui fornitori e partner prima di stabilire relazioni contrattuali. 
  • Verifica continua: Monitorare costantemente i fornitori per assicurarsi che rispettino gli standard di sicurezza definiti. 

3.2. Clausole Contrattuali 

  • Integrazione di clausole: Includere nei contratti clausole specifiche che obblighino i fornitori a mantenere un determinato livello di sicurezza informatica. 
  • Controllo del rispetto delle clausole: Stabilire procedure per verificare il rispetto di tali clausole durante tutta la durata del contratto. 

3.3. Gestione dei Rischi della Supply Chain 

  • Mappatura della supply chain: Identificare i fornitori critici e i potenziali punti di vulnerabilità lungo la catena di approvvigionamento. 
  • Piani di continuità: Creare piani di continuità operativa che tengano conto di interruzioni o compromissioni della supply chain. 

 

  1. NOTIFICA DEGLI INCIDENTI DI SICUREZZA

4.1. Obblighi di Notifica 

  • Segnalazione tempestiva: In caso di incidente significativo, notificare l’autorità competente entro 24 ore con un report iniziale. 
  • Report dettagliato: Fornire un report completo entro 72 ore dall’incidente, contenente analisi dettagliate e misure correttive. 

4.2. Comunicazione con le Autorità 

  • Cooperazione: Collaborare con le autorità nazionali durante le indagini e seguire le loro indicazioni. 
  • Documentazione degli incidenti: Tenere una documentazione dettagliata di tutti gli incidenti e delle misure di risposta adottate. 
  1. SUPERVISIONE E CONFORMITÀ

5.1. Audit e Controlli 

  • Audit periodici: Prevedere audit interni ed esterni per verificare la conformità alle disposizioni della NIS2. 
  • Rapporti di conformità: Preparare e mantenere rapporti di conformità che dimostrino l’adesione alle normative. 

 

COSA SUCCEDE IN CASO DI VIOLAZIONE? 

Le sanzioni sono proporzionate alla gravità della violazione e sono simili a quelle previste dal GDPR. Ad esempio: 

Sanzioni Amministrative: per le entità essenziali fino a 10 milioni di euro o al 2% del fatturato globale annuo dell’organizzazione, se superiore; per le entità importanti: Fino a 7 milioni di euro o al 1,4% del fatturato globale annuo, se superiore. 

Sanzioni Non Pecuniarie: in casi gravi, le autorità possono disporre la sospensione temporanea delle attività dell’organizzazione interessata. 

Responsabilità personale: le persone fisiche, come i membri del management, possono essere ritenute direttamente responsabili per la mancata adozione delle misure richieste, con conseguenti sanzioni specifiche.