NIS2 – Team e CISO
Il recepimento della Direttiva NIS2 impone nuovi obblighi e stringenti adempimenti a una vasta gamma di soggetti definiti essenziali, inclusi aziende e organizzazioni del settore pubblico che svolgono attività critiche per il funzionamento della società e dell’economia. In Italia, il Decreto di recepimento stabilisce che le misure di sicurezza della Direttiva NIS2 si applichino a soggetti definiti “essenziali”, come le grandi aziende con oltre 250 dipendenti, ricavi annui di almeno 50 milioni di euro o bilancio di almeno 43 milioni di euro. A questi, si aggiungono le organizzazioni della Pubblica Amministrazione e tutte le imprese che operano in settori di infrastrutture critiche, inclusi quelli ad alta sensibilità come energia, trasporti, finanza, sanità, acqua, telecomunicazioni e infrastrutture digitali. La normativa estende inoltre i requisiti di sicurezza informatica a ulteriori settori critici come i servizi postali, gestione dei rifiuti, fabbricazione di sostanze chimiche, dispositivi medici, computer e autoveicoli, che si trovano sempre più esposti a rischi per la sicurezza cibernetica.
Per questi settori e organizzazioni, la Direttiva NIS2 non solo impone di mettere la sicurezza al centro della gestione aziendale e delle strategie organizzative, ma richiede un vero e proprio cambio di paradigma nel modo di trattare e proteggere i dati e le infrastrutture critiche. In particolare, le organizzazioni coinvolte devono adottare una serie di misure specifiche per adeguarsi alla normativa. Tra queste, è obbligatorio registrarsi su una piattaforma dedicata creata per garantire la tracciabilità e la trasparenza degli interventi di conformità. Inoltre, le organizzazioni devono predisporre un “Team NIS2”, composto da figure esperte e risorse adeguate, che si occuperà di gestire e monitorare tutti gli aspetti della sicurezza cibernetica interna.
Da segnalare che la prima denuncia di attacchi informatici va fatta entro 24 ore e, a seguire, notifica completa entro 72 ore: sono questi alcuni degli obblighi che riguardano la direttiva.
Nel team dovrà essere identificato il Chief Information Security Officer (CISO) ossia un alto manager responsabile della gestione della sicurezza delle informazioni e della protezione dei dati all’interno di un’organizzazione. Il ruolo del CISO è di garantire la sicurezza delle risorse informative, dei sistemi informatici e delle reti aziendali.
L’adeguamento alla Direttiva NIS2 richiede un’attenta revisione della gestione dell’inventario, per identificare e classificare tutti gli asset digitali e confermare il loro profilo di rischio. Le organizzazioni devono anche trasferire i risultati di eventuali audit di sicurezza esistenti, integrandoli nel processo NIS2, al fine di costruire una base di partenza solida per migliorare continuamente la propria resilienza. È fondamentale, infine, ridurre la complessità delle infrastrutture IT per semplificare la gestione della sicurezza, rendendo l’intero ecosistema aziendale più facilmente difendibile contro minacce e attacchi esterni.
Un aspetto rilevante del recepimento della Direttiva NIS2 è la responsabilizzazione dei fornitori di servizi essenziali: il coinvolgimento dei partner esterni nell’ecosistema di sicurezza dell’organizzazione è necessario, in quanto l’esposizione alle minacce può derivare anche dalle vulnerabilità nella supply chain. Di conseguenza, anche i fornitori sono chiamati a rispettare specifiche linee guida e standard di sicurezza, poiché la loro protezione è ritenuta indispensabile per mantenere l’intera catena operativa sicura. La Direttiva sottolinea quindi l’importanza di un approccio olistico alla gestione dei rischi, richiedendo ai responsabili delle organizzazioni di assumere un ruolo attivo e strategico nella governance della sicurezza.
Le sanzioni previste per le violazioni sono rigorose e possono comportare significative ripercussioni economiche e reputazionali.
Puoi approfondire qui il contenuto creato dal Comitato Scientifico Cybersecurity ASSO DPO riguardo la direttiva Nis2
Qui invece sono indicati settori ad alta criticità della direttiva a partire dalla pagina 64 fino a pagina 70.