ADEGUARSI ALLA DIRETTIVA NIS2 CON BM&A e SC Consulting
L'obbligo di adesione alla NIS 2 è in capo alle strutture che fanno parte delle Grandi e Medie aziende che hanno oltre 50 dipendenti od un fatturato annuo maggiore d € 50 milioni o totale di bilancio annuo maggiore di 43 Milioni.
Studio Legale Associato BM&A di Treviso e SC Consulting ti possono affiancare nella valutazione.
Valutazione del rischio
NIS 2, come da articolo 24, è multirischio: logico, fisico, governo, lock-in tecnologico, utilities. E considera l’impatto “sociale ed economico” e richiede un “livello appropriato” di sicurezza.
I criteri interpretativi sulla NIS2 della Commissione indicano di considerare le seguenti minacce, sempre in una logica di multirischio:
FISICI
sabotaggi,
furti,
incendi,
inondazioni,
problemi di telecomunicazione,
problemi di interruzioni di corrente,
qualsiasi accesso fisico non autorizzato in grado di compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei INFORMATICI
per i dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informativi e di rete o accessibili attraverso di essi,
guasti del sistema,
errori umani,
azioni malevole, fenomeni naturali.
L’auspicio di chi scrive è che, se saranno date indicazioni su come condurre una valutazione del rischio, non venga riproposto il modello formale, ma non utile, basato su asset, minacce e vulnerabilità, ma invece un modello, come poi si vede negli Orientamenti, basato sugli eventi, per cui non è utile avere un dettaglio di tutti gli asset a questo scopo (è invece necessario per attività operative).
La direttiva NIS 2 prevede l’obbligo ovviamente di adottare adeguate misure tecniche ed organizzative per gestire e mitigare i rischi informatici:
1. Analisi del rischio
2. Adozione di adeguate misure di gestione del rischio con studio delle potenziali minacce e punti deboli dei sistemi aziendali e dei modelli organizzativi interni. Adozione di adeguate misure tecniche e di un modello organizzativo adeguato al rischio.
3. Gestione dei rapporti con i terzi con predisposizione di codici di condotta, policies e clausole standard per garantire un adeguato livello di sicurezza in tutta la catena di approvvigionamento.
4. Obblighi di notifica per i soggetti rientranti nell’ambito di applicazione della direttiva devono essere in grado di notificare tempestivamente gli incidenti informatici alle autorità competenti.
Quali misure adottare?
I modelli organizzativi e le policies interne devono prevedere, tra l’altro:
politiche di formazione periodica di dipendenti ed amministratori;
misure di analisi dei rischi e di sicurezza dei sistemi;
procedure di gestione degli incidenti
misure e procedure per la continuità operativa, e la gestione delle crisi;
misure per la gestione della catena di approvvigionamento;
politiche per la sicurezza dell’acquisizione e dello sviluppo e della
manutenzione dei sistemi;
pratiche di igiene informatica;
protocolli di sicurezza delle risorse umane;
uso di misure di sicurezza avanzate;
modelli di valutazione dell’efficacia e di revisione delle misure.
Registrazione
Entro il 28 febbraio 2025 i soggetti pubblici e privati a cui si applica la NIS devono manifestarsi all’Autorità nazionale competente NIS registrandosi sulla piattaforma digitale che sarà resa disponibile da ACN dal 1° dicembre 2024. Le modalità di registrazione sono delineate dall’articolo 7 del decreto NIS e verranno dettagliate con un apposito provvedimento attuativo.
NIS2: Chi sono i soggetti interessati ad Alta criticità:
Bancario
Enti creditizi
Infrastrutture dei mercati finanziari
Controparti centrali
Sanitario
Prestatori di assistenza sanitaria, Soggetti che svolgono attività di ricerca e sviluppo relative ai medicinali, Laboratori di riferimento dell’UE, Soggetti che fabbricano dispositivi medici considerati critici durante un’emergenza di sanità pubblica
Acqua potabile
Fornitori e distributori di acque destinate al consumo umano, esclusi i distributori per i quali la distribuzione di acque destinate al consumo umano è una parte non essenziale dell’attività generale di distribuzione di altri prodotti e beni
Acque reflue
Imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali escluse le imprese per cui la raccolta, lo smaltimento o il trattamento di acque reflue urbane, domestiche o industriali è una parte non essenziale della loroattività generale
Infrastrutture digitali
Fornitori di punti di interscambio internet, servizi DNS, esclusi gli operatori dei server dei nomi radice, Registri dei nomididominio di primo livello (TLD), servizi di cloud computing, servizi di data center, di reti di distribuzione dei contenuti (contentdelivery network), di servizi fiduciari, di reti pubbliche di comunicazione, di servizi di comunicazione elettronica accessibili al pubblico
Gestione dei servizi TIC (business-to-business)
Fornitori di servizi gestiti e di servizi di sicurezza gestiti
P.A.
Enti della pubblica amministrazione delle amministrazioni centrali quali definiti da uno Stato membro conformemente al diritto nazionale
Spazio
Enti della pubblica amministrazione a livello regionale quali definiti da uno Stato membro conformemente al diritto nazionale, Operatori di infrastrutture terrestri possedute, gestite e operate dagli Stati membri o da privati, che sostengono la fornitura di servizi spaziali, esclusi i fornitori di reti pubbliche di comunicazione elettronica
Medie Imprese
Imprese con un numero di dipendenti compreso fra 50 e 250 o un fatturato annuo o un totale di bilancio compreso fra 10 e 50 milioni di euro o con un totale di bilancio annuo non superiore a 43 milioni di euro, che operano nei settori individuati.
NIS2: Chi sono le Terze Parti?
Fornitori di servizi IT:
Servizi di cloud computing
Servizi di hosting
Software-as-a-service (SaaS)
Gestione dei sistemi informativi
Fornitori di sicurezza informatica:
Monitoraggio della rete
Gestione delle minacce
Risposta agli incidenti
Consulenza sulla sicurezza
Fornitori di infrastrutture critiche:
Energia (elettricità, gas, petrolio)
Trasporti (ferrovie, aviazione, trasporti marittimi)
Acqua (acqua potabile, acque reflue)
Comunicazioni
Partner di outsourcing:
Risorse umane
Contabilità e finanza
Servizi amministrativi
Customer support
Fornitori di componenti hardware e software:
Produttori di hardware Sviluppatori di software
Distributori di componenti tecnologici
Fornitori di servizi di telecomunicazioni:
Servizi di comunicazione elettronica
Internet service providers (ISP)
Servizi di telefonia
Consulenti e integratori di sistema:
Consulenza IT
Integrazione di sistemi complessi
Progetti di trasformazione digitale
Fornitori di macchinari e parti di macchinari:
Produttori di macchinari industriali
Fornitori di parti di ricambio
Manutenzione e aggiornamenti di macchinari
Servizi logistici e di trasporto:
Spedizionieri
Servizi di logistica
Gestione della catena di approvvigionamento
Fornitori di servizi finanziari:
Banche e istituzioni finanziarie
Processori di pagamento
Assicurazioni
Fornitori di servizi legali e di conformità:
Studi legali
Consulenti in materia di conformità
Servizi di audit
Fornitori di servizi sanitari:
Ospedali e cliniche
Laboratori diagnostici
Fornitori di dispositivi medici
Fornitori di servizi di formazione e sviluppo:
Programmi di formazione sulla sicurezza
Corsi di aggiornamento professionale
Sviluppo delle competenze
Fornitori di servizi di marketing/comunicazione:
Agenzie di marketing digitale
Servizi di pubbliche relazioni
Gestione dei social media
Fornitori di dati e analisi:
Società di analisi dei dati
Fornitori di intelligenza artificiale
Servizi di business intelligence
Fornitori di servizi ambientali:
Gestione dei rifiuti
Servizi di riciclaggio
Consulenza ambientale
Fornitori di servizi di gestione delle emergenze:
Servizi di soccorso e pronto intervento
Piani di continuità operativa
Servizi di recupero di emergenza
