Aggiornamenti recenti Giugno 5th, 2023 9:30 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Ransomware, dati criptati nel 76% dei casi: è il livello più alto degli ultimi anni
- Le vulnerabilità software non patchate spianano la strada ai ransomware
- Per Fortinet il 2023 sarà l’anno del cybercrime-as-a-service
- Discord: l’aggiornamento degli username crea problemi di privacy
- Tre aziende su quattro perdono i backup a causa del ransomware
NIS2: le imprese europee devono adattarsi a nuovi requisiti di sicurezza
Nuove regolamentazioni all’orizzonte: dopo il GDPR, le imprese europee dovranno preoccuparsi anche della NIS2 (Network and Information System Security). Pubblicata il 27 dicembre 2022 ed entrata in vigore lo scorso 16 gennaio, la direttiva prevede nuovi standard di cybersecurity per compagnie di diversi settori. Josue Ledesma di Bitdefender ha condiviso un’ottima panoramica sull’ultima versione della direttiva e sull’impatto che avrà sulle organizzazioni.
La NIS2 è la seconda versione di una regolamentazione già attiva dal 2016. La prima stesura è poco conosciuta perché coinvolgeva molte meno aziende e descriveva requisiti poco stringenti; queste nuove disposizioni, al contrario, coinvolgono compagnie appartenenti a diversi settori e impongono regole più ferree per la cybersecurity e la gestione del rischio aziendale.
I requisiti di NIS2 e le imprese impattate
Con le ultime indicazioni europee in materia di sicurezza informatica, le imprese devono adattare i propri sistemi e processi per rispettare i nuovi requisiti. Come riportato da Ledesma, l’Unione Europea impone alle imprese di gestire il rischio all’interno del loro network e dei loro sistemi informativi; viene richiesto poi di implementare un set di misure di sicurezza per la gestione delle vulnerabilità e del cyber rischio.
Freepik
La Commissione Europea pone l’attenzione in particolare sulla supply chain, e richiede alle aziende di concentrarsi sulla protezione dei processi più a rischio. Le imprese dovranno inoltre definire un team di professionisti esperti in cybersecurity, che si occuperà di monitorare e approvare le misure di sicurezza. In caso di incidente, le organizzazioni dovranno rispondere in una finestra che va dalle 24 alle 72 ore dalla sua individuazione; entro un mese dovranno poi consegnare agli organi di competenza un report dettagliato sull’accaduto.
Il NIS2 individua due tipi di imprese: le “essenziali” e le “importanti”. Le prime sono compagnie con più di 250 dipendenti e un fatturato di 50 milioni -; le seconde sono compagnie che hanno tra i 50 e i 250 dipendenti e un fatturato annuale di 10 milioni.
Delle prime fanno parte imprese dei settori energetico, dei trasporti, bancario e finanziario, delle bevande e della gestione dei rifiuti, di infrastrutture digitali e gestione di servizi ICT, spaziale e aeronautico, e quelle della pubblica amministrazione. Le organizzazioni “importanti” comprendono invece i servizi di posta e corrieri, le industri del settore chimico e manifatturiero, provider digitali e organizzazioni di ricerca. Saranno i singoli stati dell’Unione a definire la lista delle imprese di una e dell’altra categoria che dovranno rispettare le nuove indicazioni del NIS.
Freepik
Controlli più stringenti e multe più salate
Rispetto alla prima versione del NIS, le nuove indicazioni non solo impongono regole più severe, ma prevedono anche controlli periodici dagli organi designati. Per assicurare un maggior rispetto delle direttive l’Unione Europea eseguirà ispezioni on-site e audit di sicurezza. Oltre alla documentazione consegnata dalle imprese, la Commissione potrebbe richiedere ulteriori informazioni sulle misure in atto per misurare il livello di gestione del rischio.
Le imprese hanno fino al 18 ottobre 2024 per adattare la propria infrastruttura affinché aderisca alle nuove disposizioni di sicurezza. Le multe per il mancato rispetto dei termini arrivano fino a 7 milioni di dollari o l’1,4% del fatturato per le imprese importanti, mentre per le organizzazioni “essenziali” le sanzioni arrivano a 10 milioni di dollari o il 2% del fatturato. In entrambi i casi verrà scelto il valore più alto tra i due.
Freepik
Le imprese europee dovrebbero già cominciare a valutare lo stato dei propri sistemi e adeguarli ai nuovi standard di sicurezza. Bitdefender consiglia di identificare le unità e i dipartimenti che rientrano nello scope di NIS2, valutare la qualità dell’attuale gestione del rischio e definire nuove misure di sicurezza per rendere i sistemi conformi ai nuovi requisiti. L’implementazione delle nuove misure passa per una strategia d’azione ben definita, e dovrà coinvolgere anche eventuali fornitori.
Condividi l'articolo
Le minacce più diffuse in EMEA secondo Akamai
Ogni riscatto ransomware pagato finanzia altri 9 attacchi
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Ransomware, dati criptati nel 76% dei casi: è il livello... Lo State of Ransomware Report 2023 di Sophos ha evidenziato... -
Le vulnerabilità software non patchate spianano la strada... Kaspersky ha pubblicato il suo Incident Response report,... -
Per Fortinet il 2023 sarà l’anno del... A margine del Security Day, il principale evento dedicato... -
Discord: l’aggiornamento degli username crea problemi... Lo scorso 3 maggio Discord ha annunciato... -
Tre aziende su quattro perdono i backup a causa del... Veeam ha pubblicato i risultato del 2023 Ransomware Trends...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Discord: l’aggiornamento degli username crea problemi... Lo scorso 3 maggio Discord ha annunciato...
-
Scoperto COSMICENERGY, nuovo malware che colpisce le reti... Mandiant ha individuato un nuovo malware creato per colpire... -
Le imprese scelgono fornitori esterni per gestire la... La carenza di esperti di sicurezza ha portato le imprese... -
Una vulnerabilità di Keepass rende accessibile la master... Il ricercatore di sicurezza vdohney ha individuato e... -
Microsoft e i fix inefficaci: trovata una vulnerabilità... La patch di Microsoft che avrebbe dovuto risolvere la...
Ransomware: la serie
No posts found.
