
Come rendere la tua azienda compliant con la Direttiva NIS2
La Direttiva NIS2, entrata in vigore il 27 giugno 2024, rappresenta un passo fondamentale per rafforzare la cybersecurity in Europa. Essa sostituisce la Direttiva NIS del 2016, introducendo requisiti più stringenti per gli operatori di servizi essenziali (OSE) e per le infrastrutture digitali, puntando anche a ridurre drasticamente le differenze di applicazione nei singoli paesi membri. In Italia, la Direttiva NIS2 è stata recepita con il D.Lgs. 138/2024, che definisce il quadro normativo di riferimento e le scadenze per la compliance.
Il percorso di conformità alla Direttiva NIS2 è consigliabile anche per le aziende che non rientrano nel suo perimetro di applicazione. Questo approccio permette infatti di migliorare il livello di sicurezza dei dati e mitigare i rischi cyber, sempre più rilevanti in un contesto digitale complesso.
NIS2 Compliance: i passi da seguire
Ecco un percorso semplificato per aiutare la tua azienda verso la compliance alla Direttiva NIS2.
1) Valutazione iniziale del rischio
Conduci un'analisi approfondita del rischio cyber per identificare vulnerabilità e potenziali impatti sulle operazioni aziendali. Se non hai un reparto o responsabile IT interno, fatti supportare dall’azienda che ti presta assistenza tecnica informatica. Dovete sedervi a un tavolo, censire tutto il perimetro (dispositivi fissi e mobili, server, sistemi di backup e di sicurezza, sito web, applicativi e quant’altro) e attribuire un punteggio di rischio alto, medio o basso ad ognuno di essi, in base ad indicatori quali:
- supporto e assistenza offerti dal produttore.
- Stato e automatismo degli aggiornamenti.
- Vetustà dei prodotti.
- Sistemi di autenticazione (implementazione di autenticazione a due fattori, dove possibile).
- Stato e configurazione dei sistemi di sicurezza.
Classifica i tuoi asset digitali per priorità, concentrandoti su quelli critici per la continuità del business. Se il server è critico e il rischio rilevato è alto, fatti consigliare su cosa sia opportuno fare per proteggerti.
I nostri consigli sono:
- non guardare al solo lato finanziario. “Costa troppo”. La perdita di dati ti espone a costi anche decuplicati, rispetto a un adeguamento infrastrutturale, e può colpirti in ambito reputazionale. Cosa potrebbero fare i tuoi clienti, se l’attacco che hai subito è stato reso possibile da un’infrastruttura non aggiornata? Esistono numerose forme di finanziamento agevolato, con componente mista a fondo perduto e a tasso agevolato, per adeguamenti di sicurezza informatica.
- Non delegare questa parte a tecnici, pensando di lavartene le mani. La Direttiva NIS2 chiama in causa anche e soprattutto il titolare, circa le scelte (o non scelte) di sicurezza.
2) Definizione di una governance chiara
- Nomina un responsabile per la sicurezza delle informazioni (CISO) o un referente dedicato alla cybersecurity. Se non sei soggetto NIS2, ma ti vuoi adeguare, stipula un contratto con il tuo fornitore di assistenza tecnica informatica, affinché ti presti una costante e continua consulenza circa la sicurezza dei dati. Attenzione, non deve solo fornirti dei servizi, ma anche sedersi periodicamente con te, almeno una volta l’anno o quando introduci nuovi sistemi, per valutarne l’impatto complessivo sul tuo sistema informatico.
- Crea un team interno o esterno per gestire la sicurezza IT e definisci ruoli e responsabilità.
- Stabilisci un piano strategico per la sicurezza informatica, in linea con i requisiti della NIS2. Stabilisci ogni quanto fare la valutazione, i tempi di intervento e le spese da sostenere subito o da poter differire. In questo piano ci vanno anche la formazione del personale e la gestione degli incidenti, che trovi qui di seguito.
3) Adozione di misure di sicurezza tecniche e organizzative
- Implementa strumenti di monitoraggio e rilevamento delle minacce.
- Metti in sicurezza reti, sistemi e dati critici utilizzando tecnologie avanzate come firewall, sistemi di prevenzione delle intrusioni (IPS) e crittografia.
- Sviluppa un sistema per il controllo degli accessi, assicurandoti che solo il personale autorizzato abbia accesso ai dati, siano essi personali, di produzione o particolari (nella definizione data dal Regolamento UE 2016/679, prima detti dati sensibili).
4) Gestione degli incidenti
- Progetta e implementa un piano di gestione degli incidenti che consenta di rispondere rapidamente a eventuali violazioni.
Il tuo personale sa cosa fare e chi chiamare se nota la presenza di un ransomware, rallentamenti del sistema, file che non si aprono più o simili? Il tuo personale sa come assicurarsi che il tecnico che vuole accedere da remoto sia davvero dell’azienda che ti presta assistenza?
- Prevedi esercitazioni periodiche per testare l'efficacia del piano.
- Implementa un sistema di registrazione degli eventi (log management) per supportare eventuali indagini post-incidente.
5) Formazione del personale
- Organizza corsi di formazione e sensibilizzazione per tutti i dipendenti, affinando le loro competenze in materia di cybersecurity. Noratech offre soluzioni di formazione finanziata che permettono di coprire la quasi totalità del costo di formazione del personale e le proponiamo sempre, quando la nostra attività prevede momenti di formazione e affiancamento del tuo personale.
- Integra la sicurezza informatica nei processi aziendali quotidiani. Possiamo prepararti un semplice vademecum da tenere a fianco della tua scrivania (e dei tuoi collaboratori), per sapere cosa fare in ogni situazione.
6) Monitoraggio continuo e miglioramento
- Monitora costantemente il panorama delle minacce per aggiornare le misure di sicurezza. Su questo punto, noi di Noratech ti offriamo un supporto diretto, perché il nostro reparto tecnico ha al proprio interno persone specializzate sull’aggiornamento continuo e il monitoraggio del tuo sistema informatico.
- Conduci audit periodici per valutare la conformità alle normative e identificare eventuali aree di miglioramento. Non lo ripeteremo mai abbastanza, le minacce sono in continua evoluzione, che ti piaccia o meno.
7) Reportistica e notifiche obbligatorie
- In caso di incidente grave, notifica tempestivamente l'accaduto all'ACN (Agenzia per la Cybersicurezza Nazionale), come previsto dal D.Lgs. 138/2024. L’obbligo scatterà, per i soggetti NIS2, dal 2026. La prima segnalazione va fatta entro 24 ore, quindi una seconda entro 72 ore, con maggior grado di dettaglio. Infine, dopo 30 giorni, dovrai stilare un report di chiusura incidente. Se l’incidente fosse ancora in corso (Yahoo è stata oggetto di incidente per oltre tre anni), stila un report sullo stato a quel momento.
- Tieni traccia di tutte le comunicazioni e degli interventi effettuati.
Scadenze chiave da tenere a mente per la NIS Compliance
Per le aziende soggette alla Direttiva NIS2, le seguenti date sono fondamentali:
- 28 febbraio 2025: termine per identificare e notificare i propri obblighi alle autorità competenti. Devi andare sul sito dell’ACN e registrarti, se sai o se sospetti di poter essere soggetto NIS2. Ti aiutiamo a farlo noi, se hai bisogno;
- entro il 15 aprile 2025: nomina del responsabile interno che dovrà seguire la compliance alla NIS2;
- dal 1 gennaio 2026: scatta l’obbligo di segnalazione degli incidenti come sopra descritto;
Perché adottare le best practice della NIS2 anche quando non sei obbligato?
Anche se la tua azienda non rientra tra quelle obbligate a rispettare la Direttiva NIS2, seguire questo percorso ti permette di:
- ridurre il rischio di attacchi informatici e data breach;
- dimostrare ai clienti e partner commerciali un impegno verso la sicurezza dei dati;
- adeguarti a standard di sicurezza internazionali, facilitando l'accesso a nuovi mercati.
Scrivici per saperne di più