Novembre 2024 / 10 minuti di lettura

La vostra organizzazione è pronta per la NIS2?

La nuova legislazione dell’UE in materia di sicurezza cyber interessa molte più organizzazioni, con la minaccia di sanzioni per coloro che non si adeguano. Leggete la nostra guida per assicurarvi che la vostra organizzazione sia pronta per la NIS2.

Key Takeaways

La direttiva EU sulla NIS2 (Network and Information Security) entrata in vigore a partire dal 18 ottobre 2024.
Questa legislazione ha un impatto significativo su un numero crescente d’imprese, che sono tenute a ottimizzare le proprie infrastrutture di sicurezza cyber.
Per minimizzare il rischio di sanzioni, è necessario esaminare i requisiti NIS2 e valutarne la rispettiva conformità aziendale.

Cos’è la direttiva NIS2?

La direttiva dell’Unione europea sulla sicurezza delle reti e dell’informazione (NIS2) Opens in a new tab sostituisce la direttiva NIS 2016 e mira a garantire un “livello comune elevato di cyber security in tutti gli Stati membri dell’UE” rafforzando ulteriormente i requisiti in materia di sicurezza cyber nelle infrastrutture critiche e nei settori e organizzazioni indispensabili per il funzionamento dell’economia.

La NIS2 è stata ratificata il 16 gennaio 2023 e tutti gli Stati membri dell’UE devono garantire l’adozione e la pubblicazione delle misure necessarie per conformarsi alle direttive entro il 17 ottobre 2024, con effetto dal 18 ottobre 2024. Per le imprese del Regno Unito, la legislazione dell’UE non sarà applicata, ma si prevede che un’espansione della direttiva NIS del Regno Unito includerà requisiti simili a quelli previsti dalla direttiva NIS2. E le imprese britanniche che operano all’interno dell’UE dovranno conformarsi alla NIS2 per poter dimostrare livelli coerenti di standard di sicurezza cyber.

Parla con il team

Simili

Articolo
Gli attacchi informatici alle supply chain stanno causando un impatto diffuso Opens in a new tab

Articolo
In che modo il Cyber Risk tocca quasi tutti gli aspetti del rischio aziendale Opens in a new tab

Articolo
Le minacce cyber interne sono un rischio aziendale in crescita Opens in a new tab

Quali sono i principali cambiamenti?

I principali cambiamenti nell’ambito della NIS2 comprendono:

Espansione dei settori industriali e delle entità che rientrano nel campo di applicazione della NIS2.

La direttiva NIS originaria riguardava i cosiddetti operatori di servizi essenziali come l’approvvigionamento idrico, la sanità, i trasporti e alcuni fornitori di servizi digitali. La NIS2 è stata ampliata per includere settori come quello dei servizi postali e di corriere, alimentare, dello spazio e delle acque reflue, nonché numerose medie imprese con 50 o più dipendenti e utili superiori a 10 milioni di euro.

Responsabilità di gestione.

Gli organi di gestione sono responsabili dell’approvazione delle misure di gestione dei rischi di sicurezza cyber adottate dalla propria impresa, presidiandone l’attuazione, e possono essere ritenuti responsabili in caso di violazione. I membri del management sono tenuti a svolgere attività di formazione in modo da acquisire conoscenze e competenze sufficienti per poter identificare i rischi e valutare le pratiche di gestione dei rischi di sicurezza cyber e le relative ripercussioni sui servizi.

Rafforzamento delle misure di gestione dei rischi di sicurezza cyber

Le organizzazioni devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi informatici e per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi.

Esistono ora dei requisiti minimi che le organizzazioni che rientrano nel campo di applicazione della NIS2 devono implementare. Questi vanno dall’uso dell’autenticazione a più fattori alla gestione degli incidenti e alle politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi di sicurezza cyber.

Le misure di gestione dei rischi di sicurezza cyber adottate dall’organizzazione devono essere documentate e devono essere disponibili prove dell’attuazione delle politiche in materia di sicurezza cyber. Ad esempio, la gestione degli incidenti deve essere chiaramente definita e devono essere previsti piani di disaster recovery.

In caso di incidente informatico, le organizzazioni devono rispettare tre fasi specifiche entro un periodo di tempo limitato:

Entro 24 ore da un attacco informatico, deve essere inviato un primo avvertimento all’autorità responsabile del proprio Paese.
Entro 72 ore devono essere fornite ulteriori informazioni sull’incidente.
Entro un mese deve essere disponibile un rapporto finale dettagliato sull’incidente.

Sicurezza della catena di approvvigionamento

La gestione dei rischi di sicurezza cyber viene ampliata per includere la sicurezza della catena di approvvigionamento. Le organizzazioni che rientrano nel campo di applicazione della NIS2 devono considerare le vulnerabilità specifiche di ciascuno dei loro fornitori diretti e fornitori di servizi al fine di prevenire o ridurre al minimo l’impatto degli incidenti della catena di approvvigionamento sui destinatari dei loro servizi e su altri servizi.

Sanzioni più elevate

I soggetti “essenziali” non conformi alla direttiva NIS2 saranno passibili di sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato totale annuo mondiale (se superiore), mentre i soggetti “importanti” subiranno sanzioni fino a 7 milioni di euro o all’1,4% (se superiore).

Quali soggetti sono interessati dalla direttiva NIS2?

L’UE suddivide l’elenco dei soggetti che rientrano nel campo di applicazione della direttiva NIS2 in “essenziali” e “importanti” (vedere di seguito). Questo elenco comprende fornitori di energia, mercati online, società, così come numerose medie imprese e agenzie governative. Sebbene i principali destinatari della NIS2 siano le imprese medio-grandi, anche alcune piccole imprese possono rientrare nei requisiti della NIS2 se vengono soddisfatte determinate condizioni o se sono considerate essenziali.

Le imprese devono determinare se sono interessate dalla NIS2. Inoltre, possono essere interessate le imprese che fanno parte della catena di approvvigionamento di tali imprese. La direttiva NIS2 contiene un allegato. Aon può anche collaborare con voi per aiutarvi a capire se siete interessati e i passi successivi da compiere.

Soggetti essenziali

Settore bancario

Infrastrutture digitali (DNS, IXP, TLD, TIC)

Energia

Infrastrutture dei mercati finanziari

Settore sanitario

Gestione dei servizi TIC

Pubblica amministrazione

Spazio

Trasporti

Acqua potabile e acque reflue

Soggetti importanti

Fornitori di servizi digitali

Fabbricazione

Fabbricazione, produzione e distribuzione di sostanze chimiche

Servizi postali e di corriere

Produzione, trasformazione e distribuzione di alimenti

Ricerca

Gestione dei rifiuti

Cosa devono fare ora le imprese

Indipendentemente dal fatto che la vostra impresa sia un’entità essenziale o importante, ogni organizzazione deve esaminare i requisiti della NIS2 e valutare la propria conformità prima della data di attuazione prevista per ottobre 2024. Tali requisiti comprendono l’adozione di misure per la gestione operativa del rischio informatico, l’igiene informatica, la risposta agli incidenti, la segnalazione degli incidenti e la sicurezza della catena di approvvigionamento.

Come per la normativa GDPR dell’UE, alle imprese conviene iniziare questo processo molto prima per evitare problemi. Grazie a oltre 20 anni di esperienza nella fornitura di soluzioni informatiche in vari settori, possiamo offrire assistenza, supporto e consulenza in ogni fase del percorso NIS2.

Cosa richiede la NIS2

In che modo Aon può aiutare

Valutazione dell’efficacia delle misure di gestione dei rischi di sicurezza cyber

Ottimizzazione degli investimenti a budget limitato per aiutare la vostra organizzazione ad ottenere il massimo ritorno sugli investimenti in sicurezza.

Igiene informatica di base

Fornire una valutazione della postura informatica e dell’igiene generale dell’organizzazione per contribuire a valutare e individuare i rischi e le lacune nei controlli di sicurezza.

Autenticazione a più fattori o continua (MFA)

Fornire supporto strategico per la selezione, l’adozione e l’implementazione di soluzioni di autenticazione a più fattori appropriate.

Politiche e procedure in materia di crittografia

Sviluppare modelli specifici per la creazione e il lancio di specifici moduli di formazione sulla consapevolezza degli utenti.

Sicurezza della catena di approvvigionamento

Allineare il rischio informatico nella catena di approvvigionamento al quadro esistente di propensione al rischio aziendale e sviluppare un approccio aziendale specifico per analizzare meglio e migliorare la resilienza informatica della catena di approvvigionamento.

Gestione degli incidenti informatici

Analizzare la preparazione alla risposta agli incidenti e lo sviluppo di protocolli completi di risposta agli incidenti, tra cui:

Valutazione della preparazione agli incidenti
Creazione di un Incident Response Plan (IRP)
Offerta di Incident Response Retainer (IRR) in tutto il mondo
Gestione della continuità operativa informatica
Sviluppo di un protocollo per i sinistri di cyber-assicurazione

Segnalazione degli incidenti informatici

Valutare le capacità e la reattività di segnalazione degli incidenti dell’impresa e progettare o adeguare le procedure esistenti di segnalazione degli incidenti per garantire l’allineamento con i nuovi requisiti normativi.

Politiche in materia di analisi dei rischi e sicurezza dei sistemi informatici

Sviluppare o riesaminare adeguati sistemi di gestione dei rischi in linea con i quadri di riferimento in materia di gestione del rischio d’impresa (ERM).

Security in network and information systems

Ricercare sistematicamente le minacce generiche e mirate all’interno della rete e monitorare il deep e dark web per individuare minacce e risorse trapelate.

Politiche e procedure per valutare l’efficacia della gestione del rischio

Sviluppare quadri di riferimento per la valutazione del rischio a livello organizzativo, combinati con prove di stress specifiche su scenari per esaminare la maturità e il rigore della gestione del rischio nel suo complesso.

NIS2: quattro domande che ogni impresa dovrebbe porsi

La mia impresa è interessata dalla NIS2?
La nostra gestione del rischio è al livello giusto per la NIS2?
La mia impresa è in grado di segnalare gli incidenti di sicurezza informatica in modo corretto o no?
Qual è lo stato della gestione del rischio della catena di approvvigionamento della mia impresa in materia di sicurezza cyber?

Aon aiuta i clienti a gestire l’intero ciclo di vita del loro percorso informatico. La nostra suite completa di soluzioni per la gestione del rischio informatico si integra perfettamente per migliorare l’efficienza e la trasparenza e aiutare i clienti a essere meglio informati per salvaguardare i propri bilanci e gestire efficacemente i rischi. Scoprite in che modo Aon può supportare la vostra organizzazione nel percorso verso una resilienza informatica continua qui.

Clicca qui per scaricare il PDF

Contatti

Se sei interessato a scoprire di più sull’impatto della NIS2 e come Aon ti può aiutare nella preparazione, compila il form seguente e un nostro consulente si metterà in contatto a breve.

Nome Cognome Ruolo Email aziendale Numero di telefono aziendale Luogo Società Industry Annual Revenue Employee Headcount Come ti possiamo aiutare?
Aon and other Aon group companies will use your personal information to contact you from time to time about other products, services and events that we feel may be of interest to you. All personal information is collected and used in accordance with our privacy statement.

Please click here to manage your communication preferences