Dal 17 ottobre 2024 la NIS 2 è pienamente vigente. La direttiva introduce nuove regole per la sicurezza informatica delle infrastrutture critiche e dei servizi essenziali in Europa. Le aziende nei settori energetico, sanitario, delle telecomunicazioni e altri sono chiamate ad adeguarsi a standard più elevati. Chi è impattato, i rischi di non conformità e il ruolo di Spindox nell’aiutare i clienti a migliorare la propria sicurezza.
Introduzione alla NIS 2: più sicurezza nelle infrastrutture critiche
La direttiva NIS 2 (Network and Information Security Directive) costituisce l’evoluzione delle misure europee per la sicurezza delle reti e dei sistemi informativi essenziali. L’obiettivo è migliorare la resilienza delle infrastrutture critiche e dei servizi vitali per la società e l’economia, in risposta alle crescenti minacce informatiche.
Approvata il 17 gennaio 2023, la direttiva è stata recepita dagli Stati membri e dal 17 ottobre 2024 è pienamente vigente. Essa sostituisce la precedente direttiva NIS 2016/1148, ampliandone il campo di applicazione e inasprendo le misure per la gestione del rischio e la segnalazione degli incidenti.
Chi è impattato dalla NIS 2 e quali sono i rischi di non conformità?
La NIS 2 identifica nuove categorie di soggetti obbligati a conformarsi, ampliando l’ambito delle infrastrutture critiche e dei servizi essenziali. Oltre a settori come energia, trasporti, sanità, acqua e telecomunicazioni, la direttiva include anche le infrastrutture digitali, i fornitori di servizi cloud e persino alcuni settori della filiera agroalimentare e chimica.
Le aziende devono implementare misure rigorose di gestione del rischio e continuità operativa. Sono inoltre tenute alla notifica degli incidenti entro 72 ore dall’accadimento. Tra le principali novità vi è l’obbligo di garantire la sicurezza della supply chain, gestendo il rischio anche per i fornitori coinvolti.
In caso di mancato adeguamento, le sanzioni previste sono severe, con multe fino al 2% del fatturato annuale globale o 10 milioni di euro, a seconda di quale sia l’importo maggiore.
Come Spindox supporta i clienti nell’adeguamento alla NIS 2
Il Gruppo Spindox, attraverso la controllata Oplium Italia, è in prima linea nell’aiutare i propri clienti a conformarsi alle disposizioni della NIS 2. Tra i principali settori che serviamo ci sono le infrastrutture digitali, la sanità e il settore energetico, tutti inclusi nella direttiva. Oplium ha definito strategie e pratiche che anticipano le normative emergenti. I contenuti della NIS 2 sono stati oggetto della nostra analisi fin dalla sua entrata in vigore, il 17 gennaio 2023.
Dal punto di vista dei nostri clienti, la l’esigenza fondamentale è di incorporare i requisiti di legge nelle strutture di Sicurezza, Compliance e Legal. Si tratta di adottare un approccio sistematico e allo stesso tempo pratico ed efficace, per consolidare la gestione del rischio e, al tempo stesso, minimizzare l’impatto operativo e sul business.
Oplium sta supportando numerose organizzazioni ad adeguarsi alla normativa attraverso una metodologia strutturata e personalizzata. Si parte da una fase di assessment e valutazione, per poi definire una strategia di gestione dei rischi e infine implementare un programma di interventi necessario a garantire l’aderenza alla normativa e potenziare la loro postura di sicurezza. L’intervento consulenziale di Oplium tocca tre aree fondamentali rispetto alle quali NIS 2 richiede nuovi livelli di conformità:
Valutazione del rischio – Supporto ai clienti nell’implementazione di framework di sicurezza (ad esempio, il NIST) per identificare e mitigare le vulnerabilità.
Business Continuity e Disaster Recovery – Piani avanzati per la resilienza operativa, inclusi test periodici per garantire la disponibilità dei servizi anche in caso di attacco.
Gestione degli incidenti – Integrazione di strumenti per la segnalazione rapida e trasparente degli incidenti, migliorando la reattività in caso di violazioni.
L’adeguamento di Spindox alla NIS 2 e l’evoluzione continua della sicurezza
Per affrontare le nuove sfide della NIS 2, Spindox ha già avviato una revisione delle proprie politiche di sicurezza. Pur non essendo direttamente soggetta alla direttiva, Spindox ha potenziato le misure di cybersecurity interna. Sono quattro, in particolare, gli ambiti di intervento identificati:
Gestione del rischio e misure di sicurezza – Spindox ha deciso di implementare e di esercitare con cadenza almeno annuale una seconda analisi del rischio, che avrà come fulcro i processi aziendali e che si andrà ad aggiungere a quella già in uso, basata sul NIST Security Framework.
Continuità operativa – Al canonico test annuale di Disaster Recovery / Business Continuity, Spindox aggiunge un secondo test, riducendo così a sei mesi l’intervallo delle verifiche della resilienza della propria infrastruttura.
Segnalazione e gestione delle violazioni – Spindox ha deciso di rivedere completamente il proprio processo interno di gestione degli incidenti, integrandolo e migliorandolo non solo con l’adozione di nuove versioni di sistemi di controlli (ad es. adozione di nuovo sistema DLP) ma anche, laddove se ne verificherà l’esigenza, con miglioramenti sulla propria struttura organizzativa.
Formazione e consapevolezza – Spindox è impegnata nel miglioramento continuo della qualità dell’informazione e della formazione, anche attraverso l’adozione di nuovi strumenti di test e sensibilizzazione sui temi “caldi” della consapevolezza, quali QRishing e Ransomware simulation.
Questo approccio proattivo rafforza la posizione di Spindox come partner di fiducia, non solo nel supportare i clienti ma anche nell’assicurare che le proprie operazioni siano in linea con i requisiti più stringenti del mercato.