Il 10 Novembre il Parlamento Europeo, a larga maggioranza, ha approvato la Direttiva NIS2 (Network and Information System Security).
La nuova Direttiva “rafforzerà gli obblighi di rendicontazione” applicabili alle aziende in materia di incidenti (databreach). E’ stato inoltre ampliato il campo di applicazione per includere nuovi settori e servizi e tutto ciò consentirà un approccio alla cybersicurezza più armonizzato e trasversale.
L’ampliamento della responsabilità costituisce una delle novità più importanti che la Direttiva NIS2 porterà sui tavoli normativi dei Paesi membri.
Le PMI, gli Studi Professionali ed i Professionisti, che di fatto erano rimasti esclusi dalla portata della NIS originale, si troveranno ora coinvolti e nella situazione di dover rispondere in solido nel caso in cui si verifichino delle violazioni dei dati e/o sistemi dei propri clienti e di cui possano essere ritenuti responsabili.
La Direttiva NIS2 prevede l’elenco dei requisiti minimi che i soggetti coinvolti saranno chiamati a garantire:
- valutare e analizzare i rischi di sicurezza dei sistemi informativi con operazioni di Vulnerability Assessment e Penetration Test se “fornitori strategici”;
- gestire gli incidenti di sicurezza informatica con un piano e un0attività di monitoraggio continuo e incident reponse;
- dotarsi di piani di continuità di business, disaster recovery e gestione delle crisi;
- testare regolarmente la sicurezza dell’infrastruttura IT e l’efficacia delle misure di gestione del rischio adottate;
- assicurarsi la sicurezza delle proprie supply chain, controllando che i propri fornitori dispongano di adeguati requisiti in termini di sicurezza.
Molte delle disposizioni contenute nella nuova Direttiva NIS2 coincidono con le attività di cyber security previste dal GDPR e dalla certificazione ISO 27001.
Saper identificare in tempi brevi la natura di un attacco e adottare le misure efficaci per mitigarlo costituisce un obbligo ed un valore che va associato all’efficacia dei sistemi di cyber security ed alla cultura e disciplina dei propri dipendenti.
Siamo a disposizione per le attività di Vulnerability Assessment e per la valutazione di un eventuale percorso di Certificazione ISO 27001. Non aspettare che sia troppo tardi ….CONTATTACI!