Contenuto del corso
Introduzione: cos’è la NIS 2
Introduzione alla direttiva 2022/2555 - NIS 2
0/1
1. Cos’è la NIS 2
07:31
Politica sulla sicurezza dei sistemi informativi
0/1
2. Politica sulla sicurezza dei sistemi informativi
04:08
Passi per l’implementazione
0/1
3. Passi per l’implementazione
09:15
Standard e certificazioni
0/1
4 – Standard e certificazioni
08:28
Autorità Nazionali ed Europee
0/1
5 – Autorità Nazionali ed Europee
07:46
Applicabilità
0/1
6 – Applicabilità
05:53
Requisiti di cybersicurezza
0/1
7 – Requisiti di cybersicurezza
04:28
Incidenti e gestione delle crisi
0/1
8 – Incidenti e gestione delle crisi
03:48
Sicurezza della catena di fornitura
0/1
9 – Sicurezza della catena di fornitura
03:46
Obblighi di reporting
0/1
10 – Obblighi di reporting
10:57
Applicazione
0/1
11 – Applicazione
07:25
Training NIS 2
Informazioni sulla lezione

Applicazione della Direttiva NIS 2

La seconda revisione della direttiva dell’Unione Europea sulla sicurezza delle reti e dell’informazione rappresenta un significativo avanzamento negli sforzi dell’UE per creare un ecosistema di cybersicurezza robusto focalizzato sulle infrastrutture critiche. Essa pone un’attenzione maggiore sulla supervisione delle organizzazioni critiche per il mantenimento dei servizi essenziali.

Allargamento del perimetro

I governi dei paesi dell’Unione sono sempre più coinvolti nell’assicurarsi che le organizzazioni di infrastrutture critiche abbiano misure di cybersicurezza robuste. Garantire e proteggere le infrastrutture critiche è un’impresa di grande importanza. Ecco perché NIS 2 regolamenta una gamma più ampia di organizzazioni e impone meccanismi di applicazione più rigorosi per rafforzare la cybersicurezza negli stati membri.

Questo video tratta dell’applicazione della NIS 2 evidenziando il suo impatto potenziale e le sfide che si presentano. Abbiamo visto che le organizzazioni di infrastrutture critiche sono classificate come essenziali o importanti in base alla loro criticità e al potenziale impatto degli incidenti di cybersicurezza sulla società.

Requisiti di conformità differenti per tipologia di soggetto

Le organizzazioni essenziali affrontano requisiti di conformità più severi con una supervisione più intensiva da parte delle autorità e potenzialmente multe più alte. Anche se la cybersicurezza è necessaria per tutte le organizzazioni di infrastrutture critiche, l’approccio a due livelli indirizza maggiore attenzione e risorse verso la protezione delle organizzazioni essenziali dove gli incidenti gravi potrebbero essere disastrosi per l’Europa.

Potere delle autorità di controllo

La direttiva NIS 2 dà potere agli stati membri dell’Unione Europea di stabilire autorità competenti responsabili di supervisionare e applicare la conformità. Le autorità hanno il potere di controllare le difese informatiche valutando quanto bene le organizzazioni di infrastrutture critiche si siano preparate agli attacchi informatici.

Le autorità dispongono di una vasta gamma di strumenti. Possono condurre ispezioni, sia in loco che da remoto, e commissionare audit regolari di cybersicurezza. Possono richiedere informazioni e prove relative alle politiche e pratiche di cybersicurezza e valutare metodicamente i rischi associati per prioritizzare i loro compiti di supervisione.

Obiettivo creare un approccio proattivo alla cybersicurezza

Se le misure di cybersicurezza di un’organizzazione non sono adeguate, le autorità possono ordinare miglioramenti, come investire in software di sicurezza migliori o migliorare le pratiche di crittografia dei dati. Nei casi gravi, i supervisori possono imporre multe alle organizzazioni di infrastrutture critiche che non rispettano i requisiti della NIS 2.

L’obiettivo è creare un approccio più proattivo alla cybersicurezza. Monitorando da vicino le infrastrutture critiche, le autorità possono identificare e affrontare le debolezze prima che i criminali informatici ne approfittino. Questo aiuta a garantire che i servizi essenziali come energia, acqua e trasporti rimangano operativi anche di fronte agli attacchi informatici.

Valutazioni e audit da parte dell’autorità

Sia le organizzazioni essenziali che quelle importanti nel campo della NIS 2 possono essere soggette a valutazioni o audit da parte delle autorità a seguito di incidenti informatici segnalabili. Le organizzazioni essenziali possono essere soggette anche a ispezioni preventive, valutazioni o audit, anche se non sono stati segnalati incidenti, particolarmente se non ne hanno segnalati, dato che gli incidenti relativamente minori e i quasi incidenti sono comuni.

Uniformità di regole a livello europeo

La direttiva NIS 2 mira a riallineare i poteri di applicazione tra i paesi dell’UE, cosa che non era stata fatta in modo adeguato sotto la vecchia NIS 1. L’imposizione di una base comune di applicazione impedisce alle organizzazioni di infrastrutture critiche che forniscono servizi transfrontalieri di sfruttare strategicamente le debolezze nei sistemi legali e regolamentari di particolari paesi.

Aiuta anche le organizzazioni internazionali a ridurre i costi relativi alla ricerca e al raggiungimento della conformità con i vari requisiti nazionali. Aumentare l’efficienza riducendo la frammentazione del mercato interno dell’UE è parte della sicurezza del posto dell’Europa tra le principali economie mondiali.

Azioni a disposizione delle autorità nazionali

Le autorità nazionali dell’UE che identificano la non conformità alla NIS 2 da parte delle organizzazioni essenziali o importanti hanno a disposizione almeno 10 azioni:

  • Emettere avvisi sulle infrazioni della direttiva.
  • Imporre istruzioni vincolanti per prevenire o rimediare alla non conformità entro una scadenza stabilita.
  • Ordinare alle organizzazioni di informare i clienti individuali e aziendali su minacce informatiche significative e cosa fare al riguardo.
  • Ordinare alle organizzazioni di divulgare pubblicamente alcuni dettagli delle infrazioni della NIS 2.
  • Imporre alle organizzazioni di implementare le raccomandazioni degli audit di cybersicurezza entro un periodo di tempo ragionevole.
  • Designare un ufficiale di monitoraggio per sovrintendere al lavoro di conformità alla NIS 2 per un periodo definito.
  • Imporre multe fino a 10 milioni di euro o al 2% del fatturato globale annuo per le organizzazioni essenziali o fino a 7 milioni di euro o 1,4% del fatturato globale annuo per le organizzazioni importanti.
  • Sospendere temporaneamente le certificazioni o autorizzazioni necessarie alle organizzazioni per operare in determinati settori regolamentati.
  • Proibire temporaneamente ai dirigenti senior delle organizzazioni essenziali o importanti di esercitare funzioni manageriali in quell’entità.
  • Rendere i dirigenti senior delle organizzazioni essenziali e importanti personalmente responsabili per la violazione dei loro doveri relativi alla NIS 2.

NIS 2 segna un punto di svolta nella strategia di cybersicurezza dell’UE. Prioritizzando le organizzazioni essenziali, dotando le autorità di strumenti robusti e promuovendo la collaborazione, la direttiva mira a creare un ambiente digitale più sicuro per gli europei. Mentre esistono sfide per le organizzazioni soggette alla NIS 2 e per le autorità che ne supervisionano l’applicazione, i potenziali benefici di un approccio unificato ed efficace sono significativi, aprendo la strada a un’Europa più resiliente e sicura dal punto di vista informatico.

L’enfasi sulla supervisione proattiva, unita alla possibilità di multe sostanziali e altre azioni di applicazione, funge da forte deterrente contro la non conformità e incentiva le organizzazioni a rafforzare le loro misure di cybersicurezza.

Precedente
Successivo