Tra pochi mesi numerose aziende dovranno recepire la direttiva NIS2. La nuova direttiva UE richiede l’attuazione di misure rigorose per garantire la sicurezza informatica.
A prima vista, questo periodo di tempo può sembrare abbastanza lungo, ma la costruzione di una struttura di sicurezza adeguata non avviene da un giorno all’altro. NTT Ltd., azienda leader nel settore delle infrastrutture e dei servizi IT, chiarisce i malintesi riguardanti la Direttiva NIS2 e mostra il modo migliore per implementarla. La Direttiva NIS2 è una legislazione europea sulla sicurezza delle reti e delle informazioni entrata in vigore il 16 gennaio 2023 e deve essere recepita nel diritto nazionale dagli Stati membri entro il 17 ottobre 2024. In Germania esiste già un progetto di legge del Ministero federale degli Interni sulla legge di attuazione NIS 2 (NIS2UmsuCG). La nuova direttiva aumenterà enormemente il numero delle aziende interessate in questo paese: tra 30.000 e 40.000 aziende rientreranno nei requisiti più severi di NIS2. Tuttavia, molti di loro probabilmente non ne sono nemmeno consapevoli, anche se sono previste severe sanzioni in caso di mancato rispetto.
Domande urgenti
Sono coperto dalla direttiva NIS2? Le autorità non dicono alle aziende se i nuovi requisiti si applicano o meno. Piuttosto, le aziende devono determinare da sole il proprio “effetto” sulla base di criteri definiti. In linea di principio, tutti coloro che sono classificati come operatori di infrastrutture critiche rientrano nel campo di applicazione di questa direttiva. Si tratta di strutture, impianti e sistemi la cui funzionalità è importante per la società, la sicurezza del Paese e dell’economia e il cui guasto comporterebbe gravi interruzioni. Secondo l'Ufficio federale della protezione della popolazione si tratta di aziende operanti nei settori dell'approvvigionamento energetico e idrico, delle telecomunicazioni e dell'informatica, dell'approvvigionamento alimentare, dei trasporti e della logistica, della finanza e della sanità. Allo stesso tempo, la Direttiva NIS2 colpisce anche le organizzazioni della catena di fornitura che forniscono servizi o prodotti legati a settori critici. Ciò significa che il campo di applicazione va ben oltre le società chiave precedentemente conosciute. In futuro nei rispettivi settori verranno registrate aziende e organizzazioni con 50 o più dipendenti e un fatturato annuo di almeno dieci milioni di euro. Nello specifico, NIS2 distingue tra strutture “importanti” ed “essenziali”. Questi ultimi svolgono un ruolo cruciale grazie alla loro quota di mercato nel rispettivo settore.
Regolamento della direttiva NIS2
L’UE ha inasprito i requisiti in tre settori chiave: misure di vigilanza e sanzioni, cooperazione e cooperazione, gestione del rischio e resilienza. Le crescenti esigenze in termini di gestione del rischio e resilienza implicano che le organizzazioni debbano implementare misure sia di prevenzione che di minimizzazione dei danni. Ciò include aree quali la sicurezza della rete, la gestione dei rischi, la sicurezza informatica nelle catene di approvvigionamento, il controllo degli accessi e la crittografia. NIS2 prevede l'igiene informatica di base e il progetto di legge prevede il rilevamento degli attacchi per le strutture critiche. Le aziende dovrebbero anche pensare a come garantire la continuità operativa dopo un attacco informatico. Ciò include il ripristino del sistema, le procedure di emergenza e la creazione di un'organizzazione di crisi. Inoltre, entro 24 ore dal momento in cui si è venuti a conoscenza dell'incidente di sicurezza, le autorità competenti devono ricevere una prima segnalazione a titolo di allarme tempestivo. Entro 72 ore dovrà seguire una relazione dettagliata che descriva i cosiddetti indicatori di compromissione. Le aziende dovrebbero innanzitutto utilizzare un approccio top-down per determinare uno stato attuale olistico del livello di maturità della propria sicurezza IT e quindi implementare le misure tecniche e organizzative necessarie. Per rispettare la linea guida NIS2, si consiglia inoltre di implementare un sistema di gestione della sicurezza delle informazioni (ISMS) secondo ISO 27001. Allo stesso tempo, è logico un centro operativo di sicurezza (SOC). Tuttavia, la gestione di un SOC è molto costosa, motivo per cui esternalizzarlo a un fornitore di servizi esterno sotto forma di servizi gestiti è una buona soluzione.
Cosa succede se non rispetti?
Sebbene vengano controllate solo le strutture essenziali, chiunque ignori i requisiti rischia sanzioni significative in caso di incidente di sicurezza. Per le aziende classificate nella categoria “essenziale”, le sanzioni possono arrivare fino a dieci milioni di euro o al due per cento del fatturato globale annuo, a seconda di quale valore sia maggiore. Per le istituzioni “importanti” la multa massima è di sette milioni di euro ovvero l’1,4% del fatturato annuo globale. Il progetto di legge del Ministero federale degli Interni prevede inoltre che gli amministratori delegati e gli altri organi direttivi delle imprese siano responsabili con il loro patrimonio privato del rispetto delle misure di gestione del rischio. Rischi anche una multa pari al 2% del tuo fatturato annuo globale. NISXNUMX rappresenta quindi un rischio di conformità che i responsabili dovrebbero prendere molto sul serio. Inoltre, una soluzione di sicurezza scarsa o inesistente alla fine costa molto di più, anche se ad alcune aziende l’investimento in misure adeguate può inizialmente sembrare elevato. Analogamente ad altre linee guida, esiste anche un’alta probabilità che le aziende che non hanno attuato le misure richieste non saranno prese in considerazione negli appalti pubblici.
“La conformità NIS2 non è un prodotto che puoi semplicemente acquistare e implementare. Al contrario: le aziende devono capire che l’attuazione della nuova direttiva UE è un progetto veramente ampio e a lungo termine con impatti in un’ampia varietà di settori. Allo stesso tempo, la conformità IT è da tempo una questione strategica chiave per le aziende”, spiega Bernhard Kretschmer, Vice President Services and Cybersecurity presso NTT Ltd. “Tuttavia, la pratica dimostra che molte aziende non hanno ancora adottato le misure necessarie. Ciò potrebbe diventare un ostacolo alla tempestiva implementazione di NIS2. Perché pochissime aziende sono in grado di soddisfare i requisiti richiesti con il proprio team IT.”
Altro su NTT
A proposito di NTT
Come parte di NTT DATA, un fornitore di servizi IT da 30 miliardi di dollari, la società di infrastrutture e servizi IT NTT Ltd. Con le sue tecnologie, rappresenta il 65% delle aziende Fortune Global 500 e oltre il 75% delle aziende Fortune Global 100. L'azienda sta gettando le basi per l'ecosistema di rete edge-to-cloud delle organizzazioni, semplificando complessi carichi di lavoro multi-cloud e innovando all'edge gli ambienti IT in cui convergono rete, cloud e applicazioni. NTT offre infrastrutture su misura e garantisce best practice coerenti nella progettazione e nelle operazioni nei suoi data center sicuri, scalabili e adattabili. Nel percorso verso un futuro definito dal software, NTT supporta i propri clienti con servizi infrastrutturali basati su piattaforma.
Articoli relativi all'argomento