Cybersecurity: cos'è la Direttiva NIS 2 e perché è importante per i professionisti della sicurezza fisica?
Risponde Rafael Martin, Genetec Sales Director
La Direttiva NIS 2 (Network and Information Security Directive 2) è una normativa dell'Unione Europea che cambia profondamente la precedente Direttiva NIS 1 approvata nel 2016. Attualmente, le organizzazioni interessate devono correre contro il tempo per prepararsi all’entrata in vigore della normativa nel 2024.
La NIS 2 riguarda un maggior numero di aziende e organizzazioni
La Direttiva NIS 1 si concentrava sulla sicurezza informatica delle infrastrutture critiche, ossia di quelle aziende e organizzazioni all’interno delle quali qualsiasi guasto o violazione della sicurezza dei sistemi informatici avrebbe potuto avere un grave impatto sulla continuità delle operazioni, la vita dei cittadini o addirittura sulla società.
La Direttiva NIS 2 introduce una distinzione tra soggetti "essenziali" e soggetti "importanti" (in base a criteri di dimensione e attività) e si estende ai loro fornitori di servizi digitali, alla supply chain e alle Pubbliche Amministrazioni.
I professionisti della security vengono chiamati ad agire su due fronti
La sicurezza informatica e la sicurezza fisica sono strettamente collegate con l’obiettivo di garantire la resilienza globale, il che crea un'interdipendenza tra queste due aree.
Inoltre, i sistemi di sicurezza fisica comprendono e integrano un numero sempre maggiore di dispositivi (telecamere intelligenti, serrature elettroniche, sensori di ogni tipo ecc.) che vengono sempre più bersagliati dai criminali informatici e possono rappresentare una vulnerabilità se non adeguatamente protetti.
La Direttiva NIS 2 garantisce a coloro che operano nei settori critici che le soluzioni di sicurezza fisica utilizzate non compromettano la cybersecurity.
In pratica, cosa significa?
La Direttiva NIS 2 richiederà solide misure di cybersecurity per proteggere i sistemi e le reti digitali. Le organizzazioni, pertanto, dovranno:
- Identificare gli asset digitali critici stilando un elenco degli elementi e delle risorse digitali vitali per lo svolgimento delle attività (apparecchiature, software e dati sensibili);
- Gestire il rischio informatico effettuando regolarmente dei risk assessment per identificare le potenziali minacce e vulnerabilità e definire le strategie di mitigazione;
- Implementare misure per la sicurezza informatica adottando strumenti tecnici (firewall, antivirus, rilevamento delle intrusioni ecc.) e implementando rigorose politiche di cybersecurity;
- Affinare l’incident reporting segnalando tempestivamente e in modo adeguato qualsiasi evento che possa impattare sulle operazioni o sulla sicurezza delle informazioni;
- Cooperare con le autorità competenti nazionali per la sicurezza informatica, contribuendo alla gestione delle crisi informatiche;
- Formare il personale sensibilizzando i dipendenti sui problemi di cybersecurity e formandoli all'uso sicuro delle nuove tecnologie;
- Offrire compliance ed evidenze garantendo che le attività siano conformi ai requisiti della Direttiva NIS 2 e fornendo evidenza della propria conformità.
Quali sanzioni per la mancata compliance?
La Direttiva NIS 2 non è solo una formalità normativa: le aziende che non si adeguano rischiano pesanti sanzioni. Le multe (fino al 2% del totale del fatturato mondiale globale) possono essere astronomiche e le conseguenze finanziarie devastanti.
La Direttiva NIS 2 rappresenta un significativo passo avanti nella sicurezza informatica, estendendo il campo di applicazione ai fornitori di servizi digitali e alla supply chain. Si tratta di un passaggio che richiede una serie di misure rigorose, ma in un'epoca di minacce informatiche in continua evoluzione, la conformità può decisamente migliorare la sicurezza, contribuendo alla resilienza delle infrastrutture critiche.
