Contenuto del corso
Introduzione: cos’è la NIS 2
Introduzione alla direttiva 2022/2555 - NIS 2
0/1
1. Cos’è la NIS 2
07:31
Politica sulla sicurezza dei sistemi informativi
0/1
2. Politica sulla sicurezza dei sistemi informativi
04:08
Passi per l’implementazione
0/1
3. Passi per l’implementazione
09:15
Standard e certificazioni
0/1
4 – Standard e certificazioni
08:28
Autorità Nazionali ed Europee
0/1
5 – Autorità Nazionali ed Europee
07:46
Applicabilità
0/1
6 – Applicabilità
05:53
Requisiti di cybersicurezza
0/1
7 – Requisiti di cybersicurezza
04:28
Incidenti e gestione delle crisi
0/1
8 – Incidenti e gestione delle crisi
03:48
Sicurezza della catena di fornitura
0/1
9 – Sicurezza della catena di fornitura
03:46
Obblighi di reporting
0/1
10 – Obblighi di reporting
10:57
Applicazione
0/1
11 – Applicazione
07:25
Training NIS 2
Informazioni sulla lezione

Autorità Nazionali ed Europee

Mentre il GDPR è un Regolamento dell’Unione Europea ed è di fatto un’unica legge europea sulla privacy, la NIS 2 è una direttiva dell’Unione Europea che richiede agli Stati membri di sviluppare le proprie leggi sulla sicurezza informatica utilizzando NIS 2 come base. La supervisione governativa coinvolge organismi di regolamentazione nazionali ed europei per garantire il rispetto della direttiva.

Trasposizione delle Direttive NIS 2

Gli Stati membri dell’UE sviluppano e attuano le proprie leggi sulla sicurezza informatica basate su NIS 2 nel processo legale noto come trasposizione. Anche se hanno una certa libertà di interpretare alcuni requisiti di NIS 2 secondo le politiche e le pratiche nazionali, NIS 2 definisce una base comune che chiarisce i requisiti minimi di sicurezza informatica. Il suo scopo principale è stabilizzare, allineare e migliorare le disposizioni di sicurezza informatica per le infrastrutture critiche in Europa.

Supervisione delle Organizzazioni Essenziali

Le autorità competenti designate dagli Stati membri supervisionano e controllano le organizzazioni essenziali e importanti che devono rispettare le leggi e i regolamenti sulla sicurezza informatica applicabili. L’approccio basato sul rischio di NIS 2 implica una maggiore enfasi e priorità sulle organizzazioni essenziali, suggerendo che le indagini ufficiali, le ispezioni di routine e gli audit pianificati da parte delle autorità competenti potrebbero iniziare prima per loro rispetto alle organizzazioni importanti. Tuttavia, incidenti o preoccupazioni informatiche in qualsiasi organizzazione inclusa nel campo di applicazione potrebbero benissimo innescare interventi urgenti.

Gestione degli Incidenti Informatici

Vi sono anche i team di risposta agli incidenti di sicurezza informatica (CSIRT) designati dagli Stati membri per gestire gli incidenti di sicurezza informatica in conformità con i processi definiti. La maggior parte dei paesi europei ha già CSIRT, siano essi propri o di paesi vicini. Forniscono supporto tecnico competente per i risponditori agli incidenti all’interno delle organizzazioni, collaborando con altre organizzazioni, specialisti e varie autorità come la polizia e i servizi di sicurezza, se necessario.

Cooperazione Transfrontaliera

Gli Stati membri sono inoltre tenuti a identificare punti di contatto unici per facilitare la cooperazione transfrontaliera tra le autorità nazionali e dell’UE, ad esempio nel corso di incidenti o crisi maggiori. Agiscono come punti focali per le comunicazioni formali e, se necessario, per l’escalation efficiente di questioni serie alle autorità.

Gestione delle Crisi Informatiche

Vi sono anche autorità per la gestione delle crisi informatiche designate dagli Stati membri, responsabili della gestione di incidenti e crisi di sicurezza informatica gravi a livello nazionale, collaborando a livello internazionale con i loro omologhi tramite i punti di contatto unici e i meccanismi di supporto, incluso EU Cyclone.

EU Cyclone

La European Cyber Crisis Liaison Organization Network (EU Cyclone) è un nuovo organismo dell’UE il cui scopo è coordinare la gestione di incidenti e crisi di sicurezza informatica su larga scala. Agisce come intermediario tra i livelli tecnico e politico, ad esempio realizzando analisi dell’impatto di incidenti e crisi di sicurezza informatica su larga scala e raccogliendo informazioni sulle attività NIS 2 degli Stati membri.

Gruppo di Cooperazione

Inoltre, il gruppo di cooperazione è un altro organismo dell’UE che facilita la cooperazione strategica e lo scambio di informazioni di routine tra gli Stati membri. Il gruppo di cooperazione ha una lunga lista di compiti, come stabilire accordi di comunicazione affidabili e intese reciproche che saranno vitali durante incidenti maggiori, organizzare riunioni a livello UE e pubblicare ulteriori linee guida su NIS 2 per coloro che sono coinvolti.

ENISA

Infine, ENISA è l’Agenzia dell’UE per la sicurezza informatica, un’organizzazione matura che pubblica linee guida rispettate riguardo agli aspetti tecnici della sicurezza informatica e consigli sugli standard. ENISA gestisce un database europeo delle vulnerabilità equivalente al National Vulnerability Database degli Stati Uniti gestito da NIST. ENISA produce anche un rapporto biennale sullo stato della sicurezza informatica nell’Unione e mantiene un registro delle organizzazioni con status speciale, il che significa che sono esentate da NIS 2 per motivi di sicurezza nazionale e difesa.

Protezione delle Infrastrutture Critiche

È importante sottolineare che la preoccupazione principale delle autorità è quella di proteggere le infrastrutture critiche dell’Europa. Le leggi nazionali, le linee guida, i meccanismi di supervisione e garanzia di NIS 2 sono progettati per lavorare insieme alle organizzazioni delle infrastrutture critiche formando una struttura di governance coerente. Una certa quantità di burocrazia e pressione per la conformità è sfortunatamente inevitabile e può persino essere utilizzata per giustificare investimenti sufficienti in quest’area. Questa è tanto un’opportunità quanto una sfida.

Piano d’Azione

Ecco il nostro piano d’azione suggerito. Dopo questo video, continua a lavorare sulle tue disposizioni di sicurezza informatica per raggiungere e essere pronto a dimostrare la conformità con le leggi e i regolamenti nazionali derivati da NIS 2, e ancor più importante, per affrontare i rischi informatici delle tue organizzazioni di infrastrutture critiche. Tieni d’occhio quelle scadenze. Stabilisci o mantieni il contatto con le organizzazioni rilevanti come i CSIRT e ENISA. Aspetta notizie di eventuali nuove autorità nazionali create in relazione a NIS 2 e attendi che ti contattino o contattali proattivamente per ottenere informazioni privilegiate.

Verifica che tipo di materiali sono stati pubblicati dal gruppo di cooperazione, collabora con i pari e i partner della catena di fornitura, le associazioni di categoria, i gruppi di interesse speciale del settore e i gruppi sociali professionali che esprimono sempre maggiore interesse per NIS 2. I tuoi fornitori di ICT e altri fornitori critici di infrastrutture informatiche aziendali sono aggiornati in quest’area? I rischi informatici associati stanno aumentando, sono stabili o in diminuzione? C’è qualcosa di pratico che puoi fare per aiutarli, come condividere buone pratiche o ci sono opportunità per collaborare o cercare la loro assistenza?

Prepara o rivedi politiche, procedure, linee guida e liste di controllo per la gestione degli incidenti informatici riguardanti l’informazione e la collaborazione con le autorità competenti, se appropriato. Chiarisci le responsabilità, le autorità e i meccanismi per contattare urgentemente le autorità durante gli incidenti maggiori, dato che le cose potrebbero essere caotiche e le comunicazioni interne ed esterne normali potrebbero essere interrotte. Tieni informati i dirigenti e altri stakeholder sui progressi. Preparare rapporti sullo stato e aggiornamenti offre opportunità per chiarire e confermare i dettagli di contatto. Raccogli e rivedi la documentazione procedurale e coordina generalmente la sicurezza informatica, la continuità aziendale e altri specialisti e manager.

Precedente
Successivo