La recente direttiva UE sulla sicurezza delle reti e dell’informazione 2 (direttiva UE NIS2) è stata introdotta per ” incrementare il livello generale di sicurezza informatica nell’UE “. Tuttavia, le imprese di tutto il mondo dovrebbero prestare attenzione a come l’UE NIS2 aiuta a costruire la resilienza informatica.
Anche se gli attacchi informatici continuano ad aumentare, la consapevolezza e la gestione del rischio sono ancora in ritardo. A causare il problema non è solo il gran numero di minacce che bombardano le imprese europee, ma anche la crescente sofisticazione degli attacchi è motivo di preoccupazione. Quasi tutte le organizzazioni sono un potenziale bersaglio, con oltre il 90% degli attacchi avviati tramite e-mail. In risposta, la Direttiva UE cerca di stabilire un elevato livello comune di sicurezza informatica in tutta l’Unione.
NIS2 adotta un approccio di gestione del rischio e ha un ambito più ampio rispetto a NIS 1. La Direttiva impone agli Stati membri dell’UE di mettere in atto una legislazione per coprire la gestione del rischio di sicurezza informatica, la diligenza della catena di fornitura, la segnalazione degli incidenti e le responsabilità gestionali per l’approvazione e la supervisione. Come il GDPR, introduce sanzioni significative in caso di non conformità (fino a 10 milioni di euro o il 4% del fatturato globale) e l’applicazione inizierà nell’ottobre di quest’anno.
L’applicazione non è ancora del tutto chiara
La Direttiva è una lettura densa. Ciò ha portato a tutti i tipi di interpretazioni (o interpretazioni errate) su quali organizzazioni si applicherà. Secondo le FAQ della Commissione Europea , i settori “importanti ed essenziali” a cui si applica NIS2 includono:
- Settori ad alta criticità: energia (energia elettrica, teleriscaldamento e teleraffreddamento, petrolio, gas e idrogeno); trasporti (aerei, ferroviari, marittimi e stradali); bancario; infrastrutture del mercato finanziario; sanità, compresa la fabbricazione di prodotti farmaceutici, compresi i vaccini; bevendo acqua; acque reflue; infrastrutture digitali (punti di scambio Internet; fornitori di servizi DNS; registri di nomi TLD; fornitori di servizi di cloud computing; fornitori di servizi di data center; reti di distribuzione di contenuti; fornitori di servizi fiduciari; fornitori di reti pubbliche di comunicazione elettronica e servizi di comunicazione elettronica accessibili al pubblico); Gestione dei servizi ICT (fornitori di servizi gestiti e fornitori di servizi di sicurezza gestiti), pubblica amministrazione e spazio.
- Altri settori critici: servizi postali e di corriere; gestione dei rifiuti; sostanze chimiche; cibo; produzione di dispositivi medici, computer ed elettronica, macchinari e attrezzature, autoveicoli, rimorchi e semirimorchi e altri mezzi di trasporto; fornitori digitali (mercati online, motori di ricerca online e piattaforme di servizi di social networking) e organizzazioni di ricerca.
Sebbene la maggior parte dei blog e degli articoli menzionino che NIS2 si applica a tutti gli operatori di servizi essenziali e importanti in Europa (ovunque abbiano sede), è importante notare che la Direttiva influisce anche sulle catene di fornitura di tali organizzazioni.
- Inoltre , NIS2 affronta la sicurezza delle catene di approvvigionamento e dei rapporti con i fornitori richiedendo alle singole aziende di affrontare i rischi di sicurezza informatica nelle catene di approvvigionamento e nei rapporti con i fornitori.
Questo elenco non è esaustivo né definitivo e diventerà più chiaro solo quando gli Stati membri produrranno il loro elenco di “entità essenziali e importanti”, ma ciò non sarà richiesto fino all’aprile 2025, sei mesi dopo l’entrata in vigore della direttiva. Vale la pena notare che alcuni Saranno incluse le piccole e microimprese nei settori critici.
Tre cambiamenti positivi che probabilmente vedremo come risultato di NIS2
Seguendo il precedente del GDPR
Negli Stati Uniti, California, Colorado e Vermont hanno introdotto nuove leggi sulla privacy dei consumatori dal 2018, mentre il Canada ha visto l’introduzione di nuove leggi sulla privacy in Alberta, Columbia Britannica e Quebec. Leggi simili sulla protezione dei dati sono state introdotte anche in paesi del Medio Oriente, Africa, Giappone, Sud America. Allo stesso modo, è probabile che inizieremo a vedere altri paesi e stati seguire l’esempio con le proprie variazioni sulle normative simili a NIS2.
Prevediamo inoltre che sempre più aziende cercheranno la certificazione ISO 27001 (lo standard internazionale per i sistemi di gestione della sicurezza delle informazioni) per garantire che siano coperti dai requisiti NIS2.
Maggiore responsabilità da parte dei senior
NIS2 rende la sicurezza informatica una questione riservata ai consigli di amministrazione, affidando saldamente la responsabilità della sicurezza informatica e della gestione del rischio agli organi di gestione, che possono essere ritenuti direttamente e personalmente responsabili delle violazioni. Consideriamo questa una tendenza in crescita e rendere la sicurezza informatica parte della governance aziendale complessiva deve essere un passo positivo.
La crescita di una cultura della cybersecurity
Una migliore comunicazione e collaborazione tra aziende e paesi attraverso la segnalazione degli incidenti e la condivisione delle informazioni aiuterà a prevenire la proliferazione delle minacce e potenzialmente a mitigare l’impatto degli incidenti informatici.
Come la salute e la sicurezza, la sicurezza informatica deve essere integrata nei nostri standard aziendali e sociali: deve diventare una seconda natura. Anche se la regolamentazione sarà probabilmente un fattore chiave di sicurezza per molti anni a venire (e, per gli incauti, imparerà da amare esperienze), il nostro obiettivo in materia di sicurezza deve essere la normalizzazione delle buone pratiche, una maggiore istruzione e consapevolezza e l’adozione di misure efficaci. soluzioni tecnologiche.
FONTE: https://www.libraesva.com/how-eu-nis2-helps-build-cyber-resilience/
