Cosa significa NIS2 per le aziende in Europa

20. Febbraio 2023
| Non ci sono commenti
Cosa significa NIS2 per le aziende in Europa

Condividi post

NIS2 è stato deciso e i paesi dell'UE devono recepire la direttiva nella legislazione nazionale entro ottobre 2024 - e le aziende devono ovviamente prepararsi. NIS2 è il quadro europeo per gli operatori di infrastrutture critiche e definisce gli standard minimi di sicurezza informatica nell'UE.

L'Unione europea (UE) ha adottato la direttiva NIS2, che fa parte della strategia dell'UE per plasmare il futuro digitale dell'Europa nel campo della sicurezza informatica ed è un'estensione diretta della direttiva NIS del 2016, che è stata la prima legge sulla sicurezza informatica livello UE.

Sfondo per NIS2

Lo sfondo della nuova direttiva è un panorama dinamico delle minacce che colpisce sempre più le reti aziendali e il riconoscimento che la prima direttiva NIS è stata implementata in modo diverso nei singoli Stati membri dell'UE. Pertanto, l'UE vuole creare un approccio più unificato alla protezione dei settori e delle catene di approvvigionamento che interessano le infrastrutture critiche (KRITIS), in quanto un attacco informatico su larga scala potrebbe avere un enorme impatto sull'economia di ogni singolo Stato membro, ma anche sul resto dell'Unione. Ad esempio, se la società di servizi pubblici di un paese rimane offline per un breve o lungo periodo, i prezzi dell'elettricità aumenteranno e poiché l'elettricità è scambiata su una borsa europea, i prezzi aumenteranno in tutta Europa.

Cosa aspettarsi dagli stati membri

A differenza della direttiva GDPR, che tutela i dati personali dei cittadini, la direttiva NIS2 mira a proteggere i dati economici. Nell'ambito della nuova legislazione, gli Stati membri devono, tra l'altro, redigere una strategia nazionale per la sicurezza informatica e una legge nazionale. Questo ha lo scopo di stabilire i requisiti per la gestione del rischio e la segnalazione da parte delle aziende che rientrano nella direttiva NIS2. Sarà inoltre istituito un punto di contatto a livello nazionale.

Istituzioni interessate

Oltre ai settori già inclusi nella direttiva NIS, la nuova NIS2 copre, tra gli altri, l'industria alimentare, le società di trasporto e spedizione, i fornitori di telecomunicazioni e dati, le piattaforme di social media e i fornitori di data center, nonché le società attive nel gestione dei rifiuti e delle acque reflue, nonché aziende manifatturiere importanti per l'economia del paese.

Le società interessate dalla direttiva si dividono in due categorie: società essenziali (ad esempio società di telecomunicazioni, servizi pubblici e banche) e società importanti (ad esempio aziende alimentari e società di trasporto merci). Tuttavia, le aziende con meno di 250 dipendenti o un fatturato annuo inferiore a 50 milioni di euro sono esentate dalla direttiva. Tuttavia, a causa del concetto di responsabilità della catena di approvvigionamento, si prevede che anche le imprese più piccole che sono fornitori dei settori coperti dalla direttiva dovranno conformarsi alle NIS2. La direttiva si estende anche alle pubbliche amministrazioni, ma al momento non è chiaro se ciò si applichi, ad esempio, ai comuni.

Cosa aspettarsi per le aziende

NIS2 pone nuove esigenze alle aziende e alle organizzazioni interessate. Ciò include competenze e responsabilità del senior management, un'efficace gestione del rischio, compresa l'analisi del rischio e la risposta agli incidenti, nonché la segnalazione e la gestione degli incidenti informatici. La direzione è quindi responsabile della conformità dell'azienda alla linea guida NIS2 e può essere ritenuta responsabile se non lo fa. L'azienda o l'organizzazione stessa deve soddisfare vari requisiti di sicurezza IT, inclusa l'implementazione di misure di sicurezza e standard internazionali come ISO27001 o il framework NIST.

Le aziende che non rispettano la direttiva NIS2 possono essere multate fino a 2 milioni di euro o al XNUMX% del fatturato annuo globale totale. È importante notare che, come con la direttiva GDPR, non ci sarà alcuna etichetta o elenco NISXNUMX a cui le aziende devono aderire. Spetta all'organizzazione stessa adottare misure per garantire il rispetto delle norme sulla protezione dei dati. Pertanto, mentre i fornitori di sicurezza possono aiutare, spetta all'organizzazione impostare la reportistica necessaria.

termine per l'attuazione

Alla fine di dicembre 2022, la direttiva NIS2 è stata approvata e ufficializzata nell'UE. Successivamente, gli Stati membri hanno 21 mesi per convertire la direttiva nella legge nazionale. Tuttavia, ciò non significa che le aziende possano attendere fino ad allora per attuare le nuove misure. Dopotutto, le organizzazioni interessate dalla direttiva devono essere in grado di rispettarla 18 mesi dopo la sua adozione. Anche se questo può sembrare lungo, sappiamo per esperienza che molte aziende possono impiegare molto tempo per introdurre nuove misure, procedure, ecc. È quindi importante che tutte le istituzioni e le aziende interessate inizino immediatamente.

Consigli per iniziare

Come accennato, la direttiva NIS2 non fornisce una lista di controllo o requisiti minimi di tecnologia di protezione. Descrive l'aspetto di un livello di protezione appropriato, che può essere interpretato in modi diversi. Tuttavia, è ragionevole presumere che le organizzazioni richiederanno almeno firewall e tecnologie di prevenzione delle intrusioni sulla propria rete, nonché sicurezza degli endpoint e implementazione dell'autenticazione a più fattori, crittografia dei dati e accesso limitato.

Tuttavia, è importante ricordare che non tutto può essere risolto con la tecnologia. Processo e tecnologia sono ugualmente importanti. Ciò significa che le aziende dovrebbero fare il punto e creare un piano, piuttosto che cercare una soluzione rapida. Con questo in mente, ci sono alcuni primi passi che puoi fare. Prima di tutto, è importante verificare se la propria azienda rientra nella nuova direttiva. Se questo è il caso, dovrebbero essere considerati i seguenti aspetti:

  • Garantire che la sicurezza IT sia una delle massime priorità del management e che i manager siano consapevoli delle proprie responsabilità. Inizia analizzando le esigenze della tua azienda e creando una tabella di marcia con obiettivi chiari e tempistica per l'implementazione.
  • Identifica e assegna priorità alle tue risorse, tra cui informazioni, processi e sistemi.
  • Progetta un framework su cui costruire la tua sicurezza. Questo potrebbe essere ISO2001 o NIST. È anche importante implementare la gestione del rischio per le risorse e i processi.
  • Automatizza il maggior numero possibile di processi e routine. Ad esempio, la sicurezza IT dovrebbe sempre far parte dei nuovi sistemi e dei lanci cloud in futuro.
  • Consolida le tue funzioni e soluzioni di sicurezza. Ciò rende il funzionamento più semplice e sicuro e riduce, tra le altre cose, i costi del personale.
  • Stabilire un processo di segnalazione conforme ai requisiti NIS2 e garantire che possa essere utilizzato per mitigare attacchi e minacce.

Molte organizzazioni hanno già implementato alcune misure in quanto dovevano soddisfare i requisiti NIS originali. Tuttavia, altre organizzazioni devono adattarsi a una realtà completamente nuova. Questo può essere un compito arduo e arduo, persino travolgente per alcuni. Per questo motivo, si consiglia a tutti di affrontare tempestivamente i requisiti e le possibili misure e di consultare esperti.

Altro su CheckPoint.com

 

Informazioni sul punto di controllo

Check Point Software Technologies GmbH (www.checkpoint.com/de) è un fornitore leader di soluzioni di sicurezza informatica per pubbliche amministrazioni e aziende in tutto il mondo. Le soluzioni proteggono i clienti dagli attacchi informatici con un tasso di rilevamento leader del settore di malware, ransomware e altri tipi di attacchi. Check Point offre un'architettura di sicurezza a più livelli che protegge le informazioni aziendali su cloud, rete e dispositivi mobili e il sistema di gestione della sicurezza "un punto di controllo" più completo e intuitivo. Check Point protegge oltre 100.000 aziende di tutte le dimensioni.

 

Articoli relativi all'argomento

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Il malware invisibile prende di mira le aziende europee

Gli hacker stanno attaccando molte aziende in tutta Europa con malware invisibili. I ricercatori ESET hanno segnalato un drammatico aumento dei cosiddetti attacchi AceCryptor tramite ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

Sicurezza digitale: i consumatori hanno più fiducia nelle banche

Un sondaggio sulla fiducia digitale ha mostrato che le banche, la sanità e il governo sono i soggetti più fidati da parte dei consumatori. I media- ➡ Leggi di più

Borsa di lavoro nel Darknet: gli hacker cercano insider rinnegati

La Darknet non è solo uno scambio di beni illegali, ma anche un luogo dove gli hacker cercano nuovi complici ➡ Leggi di più

Impianti solari: quanto sono sicuri?

Uno studio ha esaminato la sicurezza informatica degli impianti solari. I problemi includono la mancanza di crittografia durante il trasferimento dei dati, password standard e aggiornamenti firmware non sicuri. tendenza ➡ Leggi di più

racconti
, , ,