Novità in materia di sicurezza dei dati, reti e sistemi.
Il 10 novembre, con 577 voti favorevoli, i deputati del Parlamento europeo hanno approvato la nuova normativa NIS2 (Network and Information System Security) in materia di cybersecurity, che andrà a sostituire la NIS1 del 2016, recepita in Italia senza sostanziali modifiche con il D. Lgs. N. 65/2018.
La nuova Direttiva ha introdotto nuovi obblighi di cyber sicurezza per le aziende relative alla sicurezza dei dati e maggiori responsabilità per i soggetti interessati.
Gli obiettivi della Direttiva NIS2
Già con la NIS1 l’intento del Parlamento europeo fu quello di creare uno strumento normativo in grado di garantire un alto livello di cybersecurity tra i diversi Stati membri dell’UE.
La Direttiva NIS2 arricchisce e amplia la portata rispetto alla precedente, allargando, sia qualitativamente che quantitativamente, il perimetro di azione ed introducendo una serie di attività e vincoli in capo ai destinatari.
Anzitutto, è chiamata a reinterpretare le disposizioni per adeguarsi ai flussi digitali post pandemia Covid-19, che hanno visto il considerevole aumento di traffico nella rete e delle relative superfici di attacco. Le tematiche sostanziali su cui si basa riguardano: la risposta agli incidenti, la sicurezza della catena di approvvigionamento, la crittografia, la divulgazione delle vulnerabilità software e la certificazione di prodotto per la cybersecurity.
In secondo luogo, la NIS2 mira ad ampliare i settori di attività, coinvogendo una varietà sempre maggiore di organizzazioni.
La nuova direttiva individua due categorie di settori ai quali si applica:
- SETTORI ALTAMENTE CRITICI: come energia, trasporti, banche e mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione di servici ICT, Pubblica Amministrazione, spazio.
- SETTORI CRITICI: come fornitori di servizi postali, compresi i servizi di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, manifatture, fornitori di servizi digitali, ricerca.
Se con la NIS1, dunque, le PMI potevano ritenersi al di fuori della portata della Direttiva stessa, ben diverso è il discorso in relazione alla NIS2. Con l’ampliamento delle responsabilità, anche le PMI devono ritenersi coinvolte e sentire la responsabilità (qualora si presentasse l’occasione) di dover rispondere ad eventuali violazioni dei dati o dei sistemi in cui hanno voce in capitolo per via di un contratto di fornitura.
I requisiti previsti dalla NIS2
Oltre a definire i settori di attività da disciplinare, la Direttiva NIS2 prevede l’elenco dei requisiti minimi che i soggetti coinvolti sono chiamati a garantire:
- analizzare e valutare i rischi di sicurezza dei sistemi informativi con operazioni di vulnerability assessment e penetration test;
- gestire gli incidenti di sicurezza informatica con un piano e un’attività di monitoraggio continuo e incident response;
- dotarsi di un piano di continuità di business e gestione delle crisi;
- testare regolarmente la sicurezza dell’infrastruttura IT e l’efficacia delle misure di gestione del rischio adottate;
- assicurare la sicurezza delle supply chain, controllando che i propri fornitori dispongano di adeguati requisiti in termini di sicurezza.
IT solution pensa alla sicurezza dei tuoi dati aziendali
Per le PMI pensare di poter adempiere a queste responsabilità in totale autonomia, e senza l’intervento di un supporto tecnico professionale, è pressochè impossibile. La stragrande maggioranza delle aziende italiane appartengono proprio al segmento delle PMI che, date le loro caratteristiche, trovano difficoltoso anche solo pensare di investire risorse (economiche e professionali) su un unico dipendente interno specificatamente adibito a rivestire il compito di responsabile IT.
Tuttavia, grazie alla presenza di realtà come quella di IT solution, anche aziende più grandi e decisamente più strutturate possono prendere in considerazione di esternalizzare il servizio ICT con un notevole risparmio di tempo e costi. A oggi, la nostra attività MSP (Managed Service Provider – Fornitore di servizi gestiti) contempla anzitutto le molteplici opportunità fornite dal cloud tramite la gestione diretta di due data center ridondanti, osservando i più elevati standard in materia di cyber security al fine di garantire efficacemente la business continuity delle aziende.