Aggiornamenti recenti Dicembre 1st, 2023 2:00 PM
Mar 17, 2023 Marina Londei Approfondimenti, Privacy, RSS 0
Nuove regolamentazioni all’orizzonte: dopo il GDPR, le imprese europee dovranno preoccuparsi anche della NIS2 (Network and Information System Security). Pubblicata il 27 dicembre 2022 ed entrata in vigore lo scorso 16 gennaio, la direttiva prevede nuovi standard di cybersecurity per compagnie di diversi settori. Josue Ledesma di Bitdefender ha condiviso un’ottima panoramica sull’ultima versione della direttiva e sull’impatto che avrà sulle organizzazioni.
La NIS2 è la seconda versione di una regolamentazione già attiva dal 2016. La prima stesura è poco conosciuta perché coinvolgeva molte meno aziende e descriveva requisiti poco stringenti; queste nuove disposizioni, al contrario, coinvolgono compagnie appartenenti a diversi settori e impongono regole più ferree per la cybersecurity e la gestione del rischio aziendale.
Con le ultime indicazioni europee in materia di sicurezza informatica, le imprese devono adattare i propri sistemi e processi per rispettare i nuovi requisiti. Come riportato da Ledesma, l’Unione Europea impone alle imprese di gestire il rischio all’interno del loro network e dei loro sistemi informativi; viene richiesto poi di implementare un set di misure di sicurezza per la gestione delle vulnerabilità e del cyber rischio.
Freepik
La Commissione Europea pone l’attenzione in particolare sulla supply chain, e richiede alle aziende di concentrarsi sulla protezione dei processi più a rischio. Le imprese dovranno inoltre definire un team di professionisti esperti in cybersecurity, che si occuperà di monitorare e approvare le misure di sicurezza. In caso di incidente, le organizzazioni dovranno rispondere in una finestra che va dalle 24 alle 72 ore dalla sua individuazione; entro un mese dovranno poi consegnare agli organi di competenza un report dettagliato sull’accaduto.
Il NIS2 individua due tipi di imprese: le “essenziali” e le “importanti”. Le prime sono compagnie con più di 250 dipendenti e un fatturato di 50 milioni -; le seconde sono compagnie che hanno tra i 50 e i 250 dipendenti e un fatturato annuale di 10 milioni.
Delle prime fanno parte imprese dei settori energetico, dei trasporti, bancario e finanziario, delle bevande e della gestione dei rifiuti, di infrastrutture digitali e gestione di servizi ICT, spaziale e aeronautico, e quelle della pubblica amministrazione. Le organizzazioni “importanti” comprendono invece i servizi di posta e corrieri, le industri del settore chimico e manifatturiero, provider digitali e organizzazioni di ricerca. Saranno i singoli stati dell’Unione a definire la lista delle imprese di una e dell’altra categoria che dovranno rispettare le nuove indicazioni del NIS.
Freepik
Rispetto alla prima versione del NIS, le nuove indicazioni non solo impongono regole più severe, ma prevedono anche controlli periodici dagli organi designati. Per assicurare un maggior rispetto delle direttive l’Unione Europea eseguirà ispezioni on-site e audit di sicurezza. Oltre alla documentazione consegnata dalle imprese, la Commissione potrebbe richiedere ulteriori informazioni sulle misure in atto per misurare il livello di gestione del rischio.
Le imprese hanno fino al 18 ottobre 2024 per adattare la propria infrastruttura affinché aderisca alle nuove disposizioni di sicurezza. Le multe per il mancato rispetto dei termini arrivano fino a 7 milioni di dollari o l’1,4% del fatturato per le imprese importanti, mentre per le organizzazioni “essenziali” le sanzioni arrivano a 10 milioni di dollari o il 2% del fatturato. In entrambi i casi verrà scelto il valore più alto tra i due.
Freepik
Le imprese europee dovrebbero già cominciare a valutare lo stato dei propri sistemi e adeguarli ai nuovi standard di sicurezza. Bitdefender consiglia di identificare le unità e i dipartimenti che rientrano nello scope di NIS2, valutare la qualità dell’attuale gestione del rischio e definire nuove misure di sicurezza per rendere i sistemi conformi ai nuovi requisiti. L’implementazione delle nuove misure passa per una strategia d’azione ben definita, e dovrà coinvolgere anche eventuali fornitori.
Ott 31, 2023 0
Set 04, 2023 0
Ago 30, 2023 0
Ago 01, 2023 0
Dic 01, 2023 0
Dic 01, 2023 0
Nov 30, 2023 0
Nov 30, 2023 0
Nov 30, 2023 0
L’avvicinarsi della fine dell’anno coincide con...Nov 30, 2023 0
Gli attacchi informatici crescono in numero e in...Nov 29, 2023 0
Yarix, divisione Digital Security di Var Group, ha...Nov 27, 2023 0
Le minacce APT sono tra le più pericolose nel panorama...Nov 20, 2023 0
Secondo l’ultima ricerca di Bitdefender, le truffe...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Dic 01, 2023 0
Okta, la società americana di gestione delle identità, ha...Dic 01, 2023 0
Google ha rilasciato RETVec, uno strumento open-source per...Nov 29, 2023 0
Durante il re:Invent, la conferenza annuale di Amazon Web...Nov 28, 2023 0
Microsoft ha annunciato che Defender Application Guard for...Nov 28, 2023 0
L’autorità idrica comunale di Aliquippa, una città...