Contenuto del corso
Introduzione: cos’è la NIS 2
Introduzione alla direttiva 2022/2555 - NIS 2
0/1
1. Cos’è la NIS 2
07:31
Politica sulla sicurezza dei sistemi informativi
0/1
2. Politica sulla sicurezza dei sistemi informativi
04:08
Passi per l’implementazione
0/1
3. Passi per l’implementazione
09:15
Standard e certificazioni
0/1
4 – Standard e certificazioni
08:28
Autorità Nazionali ed Europee
0/1
5 – Autorità Nazionali ed Europee
07:46
Applicabilità
0/1
6 – Applicabilità
05:53
Requisiti di cybersicurezza
0/1
7 – Requisiti di cybersicurezza
04:28
Incidenti e gestione delle crisi
0/1
8 – Incidenti e gestione delle crisi
03:48
Sicurezza della catena di fornitura
0/1
9 – Sicurezza della catena di fornitura
03:46
Obblighi di reporting
0/1
10 – Obblighi di reporting
10:57
Applicazione
0/1
11 – Applicazione
07:25
Training NIS 2
Informazioni sulla lezione

Che cos’è NIS 2

Dobbiamo essere sinceri e realisti.

Le minacce informatiche si stanno sviluppando a un ritmo vertiginoso e nessuna organizzazione può ritenersi al sicuro.

L’incubo per ogni organizzazione è subire un attacco ransomware sofisticato o una violazione di dati che prende di mira le infrastrutture critiche.

L’Unione Europea riconosce questo panorama pericoloso e punta a rafforzare le difese digitali dell’Europa armonizzando gli standard di sicurezza informatica nelle infrastrutture critiche degli stati membri.

Questo video introduce la direttiva aggiornata sulla sicurezza delle reti e delle informazioni, conosciuta come NIS 2, ufficialmente nota come Direttiva dell’Unione Europea n. 2555 del 2022.

Impatto

Dal mese di ottobre 2024, NIS 2 influenza il modo in cui le organizzazioni gestiscono la sicurezza digitale e dal 28 febbraio 2025 tutte le organizzazioni in perimetro devo registrarsi sul sito dell’Agenzia per la Cybersicurezza Nazionale.

La direttiva NIS 2 mira a rafforzare le difese dell’Europa contro gli attacchi informatici, proteggendo i servizi di infrastrutture critiche su cui fanno affidamento i cittadini e altre organizzazioni.

Pubblicata nel 2022, la NIS 2 sostituirà la precedente NIS, adottata dal Parlamento UE sei anni prima. La NIS originale si applicava solo agli operatori di servizi essenziali e ai fornitori di servizi digitali, ma a causa di ambiguità nelle definizioni corrispondenti, le interpretazioni variavano tra i diversi stati membri.

Anche le sanzioni per la non conformità variavano, risultando in un approccio frammentato.

Inoltre, la NIS 1 non copriva la sicurezza della catena di fornitura, escludendo le organizzazioni di secondo livello che supportavano i servizi essenziali.

In breve, non ha soddisfatto le aspettative.

La NIS 2

La direttiva NIS 2 livella il campo su cui si gioca la sicurezza, lasciando meno spazio ai governi nazionali per interpretare le regole a proprio vantaggio. Espande la copertura a un’ampia gamma di organizzazioni di infrastrutture critiche.

Si è già stimato che fino a 100.000 organizzazioni dell’UE dovranno conformarsi alla NIS 2, mentre molte altre saranno coinvolte se fanno parte delle loro catene di fornitura. La NIS 2 divide le organizzazioni di infrastrutture critiche in due categorie: essenziali e importanti; entrambe devono conformarsi alla NIS 2, tuttavia, per le entità essenziali sono richiesti standard di sicurezza informatica più elevati e una maggiore applicazione delle norme.

In un altro video di questa serie chiarisce come le organizzazioni vengono classificate in queste due categorie.

Obblighi chiave

La NIS 2 impone otto obblighi chiave per le organizzazioni essenziali e importanti.

  • Responsabilità manageriali:
    Secondo l’Articolo 20, i dirigenti delle organizzazioni coinvolte devono approvare le misure di sicurezza informatica richieste dall’Articolo 21 e supervisionare la loro attuazione. Possono essere ritenuti responsabili se la sicurezza informatica non viene implementata correttamente. L’Articolo 32 rinforza le responsabilità per i rappresentanti legali delle organizzazioni essenziali.
  • Formazione sulla sicurezza informatica:
    I dirigenti devono intraprendere corsi di formazione sulla sicurezza informatica e permettere ai dipendenti di partecipare regolarmente a tali corsi. La formazione deve coprire l’identificazione dei rischi e la valutazione delle pratiche di sicurezza informatica e spiegare come queste misure aiutino l’organizzazione a fornire i propri servizi. Questo video, insieme agli altri del corso NIS 2, supporta questi requisiti di formazione.
  • Approccio basato sui rischi:
    Anziché richiedere controlli di sicurezza informatica specifici che potrebbero non essere universalmente applicabili, l’Articolo 21 richiede che le misure di sicurezza informatica siano correlate ai rischi informatici dell’organizzazione. Durante la valutazione dei rischi informatici, la NIS 2 richiede ai dirigenti di considerare l’esposizione al rischio dell’organizzazione e la sua dimensione.
  • Sicurezza informatica:
    L’Articolo 21 richiede alle aziende di adottare misure tecniche, operative ed organizzative appropriate e proporzionate per gestire i rischi informatici. Sono specificate una serie di misure e documenti di sicurezza informatica per prevenire o minimizzare l’impatto degli incidenti, proteggendo coloro che dipendono dalle infrastrutture critiche.
  • Sicurezza della catena di fornitura:
    Le organizzazioni devono prestare particolare attenzione ai rischi legati ai loro fornitori diretti e ai fornitori di servizi. Devono identificare e affrontare le vulnerabilità specifiche dei loro fornitori diretti e dei fornitori di servizi, nonché la qualità complessiva dei loro prodotti e delle pratiche di sicurezza informatica, comprese le loro procedure di sviluppo sicuro.
  • Segnalazione degli incidenti:
    ‘Articolo 23 richiede alle organizzazioni di segnalare gli incidenti significativi ai team di risposta agli incidenti di sicurezza informatica (CSIRT). La NIS 2 richiede diversi tipi di segnalazioni, da un avviso precoce a un rapporto finale.
  • Prodotti e servizi IT certificati:
    Sebbene la NIS 2 stessa non richieda alle organizzazioni essenziali e importanti di essere certificate, gli stati membri o la Commissione UE possono richiedere loro di utilizzare prodotti IT o servizi certificati secondo lo Schema Europeo di Certificazione della Sicurezza Informatica.
  • Applicazione:
    La NIS 2 specifica diversi meccanismi di supervisione progettati per rilevare e reagire ai problemi, mantenendo le organizzazioni in linea. La non conformità può portare a multe sostanziali, fino a 10 milioni di euro o il 2% del fatturato annuale mondiale per le organizzazioni essenziali e quasi altrettanto per le organizzazioni importanti. Le autorità dell’Unione Europea stanno chiaramente prendendo molto sul serio la sicurezza informatica per le infrastrutture critiche.

Conclusione

Essendo una direttiva dell’Unione, la NIS 2 richiedeva ai paesi aderenti di preparare o rivedere le proprie leggi sulla sicurezza informatica per allinearsi alla NIS 2 entro ottobre 2024, in un processo legislativo chiamato trasposizione.

Proteggere le infrastrutture critiche è un requisito comune che si applica in tutto il mondo; con il tempo, la NIS 2 potrebbe fare per la sicurezza informatica ciò che il GDPR ha fatto per la privacy, diventando uno standard globale di buona pratica che viene incorporato in leggi, regolamenti e politiche.

Suggerimenti pratici

  • Informarsi: Guarda questi brevi video per conoscere i requisiti della NIS 2 e come si applicano a te e alla tua organizzazione. Leggi e prendi nota delle politiche, procedure e linee guida di sicurezza informatica. Parla con i colleghi a riguardo e trova buone fonti di conoscenza.
  • Formazione: Se il tuo ruolo implica la gestione o la gestione di rischi e sicurezza informatici, dovrai studiare i requisiti e migliorare le competenze, e aiutare i tuoi colleghi a fare lo stesso.
  • Agire: Rifletti sulle implicazioni della NIS 2 sul lavoro sotto la tua responsabilità e inizia a implementare i cambiamenti il prima possibile. Il tempo in questi casi è essenziale.
Precedente
Successivo