DIRETTIVA NIS2 E I NUOVI OBBLIGHI CYBER
Le novità in fatto di governance.
La direttiva NIS2 fornisce una normativa a livello europeo riguardo la Cyber Security. Lo scopo principale è creare una linea guida per tutti i paesi europei, come il GDPR (General Data Protection Regulation), con l’obiettivo di definire i giusti approcci le misure necessarie per la protezione delle reti informatiche aziendali. La Direttiva NIS2 mira a migliorare la sicurezza aziendale specialmente in quei settori ritenuti di importanza strategica come energia, trasporti, banche, sanità e pubblica amministrazione. La direttiva comprende anche la sicurezza della supply chain e dei fornitori di servizi internazionali.
La NIS2 è entrata in vigore il 16 gennaio 2023 e si applica a qualsiasi azienda che opera nell’UE. Gli Stati membri dell'UE hanno tempo fino al 17 ottobre 2024 per integrare la NIS2. Entro ottobre, tutte le aziende che operano all’interno del territorio europeo sono tenute ad adeguare l’intera struttura aziendale con soluzioni concrete e all’avanguardia contro eventuali attacchi cyber, per garantire sia la propria incolumità sia quella dei partner con i quali condivide attività aziendali (Fornitori/Clienti).
Nel panorama attuale i rischi di attacchi cyber oltre ad essere di vario genere, sono sempre in evoluzione e ciò mette in luce l’esigenza di adottare delle misure di sicurezza ad ampio spettro. Non bisogna solo tenere in considerazione gli attacchi esterni, ma anche le casistiche, sempre più frequenti, di errori umani o inefficienze interne all’azienda.
A tal proposito la Commissione Europea potrà stabilire quali requisiti tecnici e quali metodi adottare in base ai vari settori.
La normativa mette in evidenza che il diretto responsabile delle misure di sicurezza della cyber security non sarà più il settore informatico, ma il reparto gestionale aziendale.
Gli organi di governance devono svolgere un ruolo fondamentale come:
- Approvare le misure per la gestione della Cyber Security;
- Supervisionare le misure di sicurezza;
- Partecipare a formazioni specifiche relative alla sicurezza digitale, estendendo queste attività anche ai propri partner o ai propri clienti.
Il ruolo di responsabilità diventa ancora più cruciale visto che tali soggetti saranno tenuti responsabili in caso di violazioni. Sarà necessario effettuare un’analisi completa di tutti i settori coinvolti nelle attività aziendali e valutare di adottare misure di sicurezza che siano proporzionate alla gravità dei potenziali incidenti.
L’articolo 21 mette in chiaro quelle che sono le misure di gestione dei rischi di cyber sicurezza, implementando strategie e analisi dei rischi e piani di recupero oltre che di continuità operativa dell’azienda stessa.
Le misure adottate dovrebbero proteggere la rete informatica e ridurre al minimo gli effetti negativi sull’intera struttura. Ovviamente ogni sistema di protezione deve essere in costante aggiornamento e in linea con il panorama delle minacce informatiche del momento.
Nella NIS2, precisamente nell’art. 23, sono previsti gli obblighi di segnalazione: entro 24 ore dalla conoscenza dell’avvenuto incidente che ha un impatto significativo sulla fornitura dei propri servizi ed entro 72 ore con formale denuncia alle autorità competenti o ai CSIRT*.
Sanzioni previste dalla Direttiva NIS2:
I soggetti essenziali possono essere tenuti al pagamento di sanzioni amministrative pecuniarie quali:
- multe fino a 10 milioni di euro o fino al 2% del fatturato globale annuo dell'azienda, se superiore a 10 milioni di euro;
- sanzioni interdittive, come il divieto di operare in un determinato settore o di fornire determinati servizi.
Le sanzioni interdittive possono essere applicate nei casi di violazione grave come ad esempio quando non vengono effettuate valutazioni del rischio di sicurezza, quando non vengono adottate misure di sicurezza adeguate, quando non vengono informati gli enti di notifica.
Oltre a ciò ci sono gli interessi di mora e le perdite pecuniarie derivanti dal pagamento di un eventuale riscatto e dalla mancata compliance ai sensi del GDPR.
Affidati al tuo consulente Utax per saperne di più e informarti su come proteggere la tua azienda dai pericoli informatici.
Leggenda:
*Computer Security Incident Response Team, è la struttura che ha la responsabilità di monitorare, intercettare, analizzare e rispondere alle minacce cyber.
Fonti:
cybersecurity360; dal Web;
13/05/2024
Sei un rivenditore?
Clicca qui per accedere all’articolo personalizzato per i rivenditori Utax
Iscriviti alla newsletter
Resta informato sulle novità dal mondo dell’ufficio
In evidenza
LA DIRETTIVA NIS2: UN PASSO IMPORTANTE PER LA SICUREZZA INFORMATICA
Quali sono le conseguenze per le aziende italiane?
TRASFORMAZIONE DIGITALE: CON UIPLAN DIVENTA TUTTO PIÙ SEMPLICE
La tecnologia deve essere un mezzo, non il fine.
In questo numero
SUPPLY CHAIN E CYBER SECURITY: UN'ERA DI RISCHI E RESPONSABILITÀ
La tua azienda è davvero al sicuro?[continua]
INTELLIGENZA ARTIFICIALE: OPPORTUNITÀ E COMPETITIVITÀ PER IL LAVORO
L'importanza di diffondere la cultura dell'Innovazione.[continua]