Il percorso di adeguamento alla Direttiva Europea NIS2 è iniziato, per tutte le aziende che ricadono nel perimetro di applicazione, con la registrazione sul portale ACN. Agli inizi di Aprile ACN invierà la notifica di inserimento nell’elenco nazionale. Dopo aver ricevuto la notifica tutti i soggetti NIS sono tenuti ad avviare il processo di aggiornamento delle informazioni ai sensi dell’articolo 7, commi 4, 5 e 7, del decreto NIS.

Il passaggio successivo sarà, per le aziende, quello di iniziare la graduale implementazione degli obblighi.

La sfida sarà quella di progettare un percorso di adeguamento sostenibile per l’azienda con l’obiettivo di guadagnare un vantaggio competitivo piuttosto che un costo inutile.

Il sistema informativo aziendale è una risorsa strategica per ogni impresa, implementare misure finalizzate alla sicurezza dei sistemi, alla resilienza, alla business contonuity senza dubbio rappresenta un’opportunità che non dovrebbe essere sprecata. L’adeguamento alla NIS2 deve essere sfruttato in questo senso.

Per questo motivo è fondamentale il coinvolgimento del top management per garantire l’integrazione delle nuove misure in ottica di raggiungimento di obiettivi strategici in tutti gli ambiti di applicazione della NIS 2:

  • Gestione degli incidenti
  • Politiche di analisi dei rischi di sicurezza dei sistemi informativi
  • Continuità operativa: piani di backup e ripristino
  • Sicurezza della catena di approvvigionamento
  • Implementazione di politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza
  • Formazione ed informazione in materia di sicurezza informatica per dipendenti e top management
  • Definizione di procedure per l’introduzione di sistemi di crittografia e cifratura
  • Implementazione di controllo accessi e gestione degli asset
  • Introduzione di sistemi di autenticazione a due fattori.

Un ruolo fondamentale è svolto dal top management che hanno obblighi di formazione sulla sicurezza informatica oltre ad avere responsabilità sull’implementazione delle misure.

Una delle novità più impattanti della NIS 2 è certamente quella di garantire la sicurezza della catena di approvvigionamento. In questo ambito sarà sicureamente necesario rivedere i rapporti con gli attuali fornitori che devono prevedere tutti gli aspetti relativi alla sicurezza.

L’introduzione della gestione del rischio nei contratti con i fornitori estende l’ambito di applicazione della NIS 2 anche ad aziende più piccole fornitrici di aziende che ricadono nel perimetro della Direttiva. A questo proposito il Framework nazionale per la cybersecurity e la data protection prevede una categoria specifica (ID.SC) per la gestione del rischio di sicurezza informatica nelle catene di approvvigionamento:

  • Devono essere previste procedure di valutazione dei fornitori
  • Integrazione all’interno dei contratti il rispetto degli obiettivi per la gestione del rischio
  • Audit regolari dei fornitori per la verifica degli obblighi contrattuali