Network e Information Security: cosa significa la linea guida per la tua organizzazione?

Cosa significa la NIS2 per la tua organizzazione?

La Network and Information Security, secondo la direttiva NIS2, è stata adottata dal Parlamento Europeo e dal Consiglio dell’Unione Europea il 14 dicembre 2022, con l’obiettivo di raggiungere un livello più elevato di cybersecurity all’interno dell’Unione Europea. 

Gli Stati membri hanno tempo al massimo fino al 17 ottobre 2024 per recepire questa direttiva nel diritto nazionale.

Questa nuova direttiva è nata perché la sicurezza e l’economia della nostra società digitale sono sempre più sotto pressione. Rispetto alla direttiva NIS originaria, NIS2 ha una portata e un ambito di applicazione più ampi, in modo che gli Stati membri possano rispondere meglio al costante aumento delle minacce alla sicurezza informatica.

Espansione e ulteriore approfondimento della normativa NIS

NIS2 include un elenco più ampio di settori che devono conformarsi alla legislazione e ai regolamenti, con regolamenti e misure di portata più ampia rispetto all’attuale direttiva NIS. Nei Paesi Bassi la direttiva NIS è stata convertita nella legge sulla sicurezza delle reti e dei sistemi informativi per i fornitori di servizi digitali.

Le nuove norme stabiliscono che le organizzazioni saranno sottoposte a una supervisione più ampia. Ciò si aggiunge ai requisiti della precedente linea guida NIS, che riguardava principalmente un "dovere di diligenza" e un "dovere di segnalazione" in merito agli incidenti di sicurezza informatica. Gli organi di governo che dovranno vigilare sulle organizzazioni non sono stati ancora formalmente determinati.

A chi si applica la linea guida NIS2?

All'interno della direttiva viene fatta una distinzione tra settori. Questi sono costituiti da due categorie:

• Settori ad alta criticità: energia; trasporto; settore bancario; infrastrutture del mercato finanziario; settore sanitario; acqua potabile; infrastruttura digitale; gestione dei servizi TIC; acque reflue; pubblica amministrazione; spazio.
• Altri settori critici: servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; fabbricazione/produzione; fornitori di servizi digitali; ricerca

È importante determinare se la tua organizzazione rientra in questa direttiva poiché NIS2 assegna un "dovere di diligenza" e un "dovere di relazione" maggiore alle aziende essenziali o importanti rispetto a quanto avviene attualmente. Se la tua organizzazione rientra in tutto questo, ci sono dei passaggi che puoi intraprendere per prepararti alle linea guida che la NIS2 ha indicato.

Tali passaggi includono ad esempio:

• Effettuare analisi dei rischi (ICT, Cyber, OT);
• Implementazione di un piano di continuità aziendale;
• Implementare una politica di gestione degli incidenti;
• Implementazione di un comitato di crisi.

Il nostro approccio

Mazars offre vari servizi che possono aiutare te o la tua organizzazione a prepararsi per la NIS2. Ciò ha conseguenze importanti, soprattutto per le organizzazioni che ora rientreranno per la prima volta nella nuova linea guida NIS2. Per evitare decisioni sbagliate e costi inutili è necessario effettuare una valutazione d’impatto sulla NIS2 come  fase iniziale ed elaborare una road map strutturata per l’adozione delle misure necessarie ad adempire a questa normativa.