Molte aziende sono interessate dalla nuova edizione della direttiva UE NIS2. Ciò aumenta i requisiti minimi per la sicurezza informatica delle infrastrutture critiche. Le aziende dovrebbero essere ben preparate.
Gli attacchi informatici alle infrastrutture critiche sono particolarmente pericolosi. L’UE ha quindi definito i requisiti minimi di sicurezza informatica nella direttiva sulla sicurezza delle reti e delle informazioni (NIS) nel 2016. Questa verrà ora sostituita da una nuova edizione. La direttiva NIS16 è in vigore dal 2023 gennaio 2 e gli Stati membri dell’UE hanno ancora tempo fino all’ottobre 2024 per incorporarla nella legislazione nazionale. In Germania ciò avviene attraverso la legge di attuazione NIS2, attualmente disponibile come seconda bozza. Sono previste modifiche alla legge sulla sicurezza informatica e all'ordinanza KRITIS. Molte aziende ora si chiedono cosa significhi per loro NIS2.
Cosa devono sapere ora i responsabili della sicurezza e come possono prepararsi al meglio? Dirk Wocke, compliance manager e responsabile della protezione dei dati presso indevis, fornisce le risposte alle domande più importanti.
Chi è interessato da NIS2?
La differenza più importante rispetto alla vecchia legislazione è l'efficienza notevolmente aumentata. Verranno aggiunti sette nuovi settori KRITIS, aumentando il numero da undici a diciotto. Mentre finora sono state colpite solo le grandi organizzazioni dell'ambiente diretto di KRITIS, NIS2 si applica anche alle aziende private, anche quelle con una dimensione di 50 dipendenti o un fatturato annuo di 10 milioni di euro. Alcune aziende, indipendentemente dalle loro dimensioni, rientrano nel campo di applicazione della direttiva perché rientrano tra le cosiddette “entità essenziali” particolarmente importanti per il bene comune.
Un’altra novità è che le aziende interessate devono verificare e garantire la sicurezza informatica dei propri fornitori. Questo è importante perché le catene di fornitura stanno diventando sempre più complesse e anche il guasto di un piccolo componente può portare a colli di bottiglia critici. L’hacking di Solarwinds, ad esempio, ha dimostrato quanto possano essere pericolosi gli attacchi alla catena di approvvigionamento. Nel complesso, NIS2 ha un impatto su un’ampia gamma di aziende, molte delle quali si rendono conto solo a una seconda occhiata di essere interessate.
Quali innovazioni porta NIS2?
La nuova direttiva aumenta i requisiti minimi di sicurezza informatica e responsabilizza i manager. Sei responsabile di garantire che gli standard prescritti siano rispettati. Se si verifica un attacco informatico, si applicano severi requisiti di segnalazione, simili al GDPR. Le aziende devono quindi segnalare l'incidente al BSI entro un certo periodo di tempo. In questo modo il legislatore vuole impedire che le persone colpite nascondano un attacco informatico per tutelare la propria reputazione. NIS2 inoltre affina la giurisprudenza europea e approfondisce la supervisione e la cooperazione nell’UE tra autorità e operatori. Ad esempio, dovrebbero essere istituite squadre nazionali di risposta alle emergenze informatiche che cooperino a livello transfrontaliero e scambino informazioni. Allo stesso tempo verrà creata una banca dati sulle vulnerabilità a livello dell’UE.
Cosa dovrebbero fare ora le aziende interessate?
NIS2 prescrive misure di sicurezza tecniche e organizzative all’avanguardia. Ciò include, ad esempio, una metodologia per valutare i rischi informatici e una strategia per garantire la continuità del servizio e del business. Sono inoltre obbligatorie misure per prevenire, individuare e gestire gli incidenti informatici. Fondamentalmente si tratta di costruire un sistema di gestione della sicurezza delle informazioni (ISMS). Definisce regole, processi, metodi, strumenti e responsabilità per gestire e controllare la cybersecurity in azienda.
Un esempio sono la BSI Grundschutz e la ISO/IEC 27001. La maggior parte delle aziende finora ha solo stabilito i pezzi del puzzle di un ISMS. Innanzitutto è importante identificare le lacune e poi colmarle passo dopo passo. È necessario ricoprire numerosi ruoli e definire politiche. Tutto questo è solitamente più complesso del previsto e richiede tempo. È quindi opportuno affrontare la questione quanto prima. Un fornitore di servizi esterno che abbia esperienza nell’introduzione e nell’ulteriore sviluppo di un ISMS può fornire supporto con consulenza e supporto.
Cosa succede quando le aziende ignorano i requisiti NIS2?
Analogamente al GDPR, il legislatore rafforza i propri requisiti imponendo sanzioni elevate per le violazioni. Le sanzioni e le misure coercitive verranno notevolmente ampliate, fino a raggiungere, a seconda del settore, sanzioni massime di almeno sette o dieci milioni di euro. Per verificare il rispetto dei requisiti NIS2, la BSI può effettuare audit o commissionarli a terzi. Se vengono scoperte carenze, alle aziende interessate viene assegnato un termine entro il quale devono apportare miglioramenti. Infine, ma non meno importante, gli amministratori delegati sono personalmente responsabili se l'indagine forense su un incidente informatico rivela che l'azienda non ha rispettato i requisiti di sicurezza.
NIS2 come opportunità
Chiunque sia già stato assegnato all'area KRITIS ha probabilmente già implementato molto di ciò che NIS2 richiede. Per le nuove imprese lo sforzo è maggiore. È quindi consigliabile iniziare il prima possibile. Anche se NIS2 inizialmente richiede lavoro, ne vale la pena. Considerata la situazione di crescente minaccia, è essenziale aumentare la sicurezza informatica.
In pratica, i responsabili della sicurezza spesso hanno difficoltà a liberare fondi per le misure di sicurezza. Pertanto è necessaria la pressione da parte dei requisiti legali. NIS2 pone ora la questione della sicurezza informatica ai vertici del livello gestionale, aprendo la strada al cambiamento. In futuro, i responsabili della sicurezza dovrebbero avere più difficoltà a convincere i CEO a investire di più nella sicurezza informatica. Per ottenere la conformità NIS2 nel modo più rapido ed efficiente possibile, ti consigliamo di collaborare con un fornitore esperto di servizi di sicurezza gestiti. Può aiutare a rivedere la strategia di sicurezza, impostare un ISMS e selezionare e utilizzare una tecnologia di sicurezza adeguata.
Maggiori informazioni su Indevis.de
A proposito di Indivis
Certificata secondo lo standard internazionale ISO/IEC 27001, indevis GmbH è uno dei principali fornitori di servizi di sicurezza gestiti (MSSP) in Germania. L'azienda definisce gli standard di sicurezza nella tecnologia dell'informazione da oltre 20 anni e offre a clienti di ogni dimensione e settore soluzioni di sicurezza IT adeguate per reti, data center e cloud.