Aggiornamenti recenti Giugno 5th, 2023 9:30 AM
Mar 17, 2023 Marina Londei Approfondimenti, Privacy, RSS 0
Nuove regolamentazioni all’orizzonte: dopo il GDPR, le imprese europee dovranno preoccuparsi anche della NIS2 (Network and Information System Security). Pubblicata il 27 dicembre 2022 ed entrata in vigore lo scorso 16 gennaio, la direttiva prevede nuovi standard di cybersecurity per compagnie di diversi settori. Josue Ledesma di Bitdefender ha condiviso un’ottima panoramica sull’ultima versione della direttiva e sull’impatto che avrà sulle organizzazioni.
La NIS2 è la seconda versione di una regolamentazione già attiva dal 2016. La prima stesura è poco conosciuta perché coinvolgeva molte meno aziende e descriveva requisiti poco stringenti; queste nuove disposizioni, al contrario, coinvolgono compagnie appartenenti a diversi settori e impongono regole più ferree per la cybersecurity e la gestione del rischio aziendale.
Con le ultime indicazioni europee in materia di sicurezza informatica, le imprese devono adattare i propri sistemi e processi per rispettare i nuovi requisiti. Come riportato da Ledesma, l’Unione Europea impone alle imprese di gestire il rischio all’interno del loro network e dei loro sistemi informativi; viene richiesto poi di implementare un set di misure di sicurezza per la gestione delle vulnerabilità e del cyber rischio.
Freepik
La Commissione Europea pone l’attenzione in particolare sulla supply chain, e richiede alle aziende di concentrarsi sulla protezione dei processi più a rischio. Le imprese dovranno inoltre definire un team di professionisti esperti in cybersecurity, che si occuperà di monitorare e approvare le misure di sicurezza. In caso di incidente, le organizzazioni dovranno rispondere in una finestra che va dalle 24 alle 72 ore dalla sua individuazione; entro un mese dovranno poi consegnare agli organi di competenza un report dettagliato sull’accaduto.
Il NIS2 individua due tipi di imprese: le “essenziali” e le “importanti”. Le prime sono compagnie con più di 250 dipendenti e un fatturato di 50 milioni -; le seconde sono compagnie che hanno tra i 50 e i 250 dipendenti e un fatturato annuale di 10 milioni.
Delle prime fanno parte imprese dei settori energetico, dei trasporti, bancario e finanziario, delle bevande e della gestione dei rifiuti, di infrastrutture digitali e gestione di servizi ICT, spaziale e aeronautico, e quelle della pubblica amministrazione. Le organizzazioni “importanti” comprendono invece i servizi di posta e corrieri, le industri del settore chimico e manifatturiero, provider digitali e organizzazioni di ricerca. Saranno i singoli stati dell’Unione a definire la lista delle imprese di una e dell’altra categoria che dovranno rispettare le nuove indicazioni del NIS.
Freepik
Rispetto alla prima versione del NIS, le nuove indicazioni non solo impongono regole più severe, ma prevedono anche controlli periodici dagli organi designati. Per assicurare un maggior rispetto delle direttive l’Unione Europea eseguirà ispezioni on-site e audit di sicurezza. Oltre alla documentazione consegnata dalle imprese, la Commissione potrebbe richiedere ulteriori informazioni sulle misure in atto per misurare il livello di gestione del rischio.
Le imprese hanno fino al 18 ottobre 2024 per adattare la propria infrastruttura affinché aderisca alle nuove disposizioni di sicurezza. Le multe per il mancato rispetto dei termini arrivano fino a 7 milioni di dollari o l’1,4% del fatturato per le imprese importanti, mentre per le organizzazioni “essenziali” le sanzioni arrivano a 10 milioni di dollari o il 2% del fatturato. In entrambi i casi verrà scelto il valore più alto tra i due.
Freepik
Le imprese europee dovrebbero già cominciare a valutare lo stato dei propri sistemi e adeguarli ai nuovi standard di sicurezza. Bitdefender consiglia di identificare le unità e i dipartimenti che rientrano nello scope di NIS2, valutare la qualità dell’attuale gestione del rischio e definire nuove misure di sicurezza per rendere i sistemi conformi ai nuovi requisiti. L’implementazione delle nuove misure passa per una strategia d’azione ben definita, e dovrà coinvolgere anche eventuali fornitori.
Mag 04, 2023 0
Apr 27, 2023 0
Apr 26, 2023 0
Apr 03, 2023 0
Giu 05, 2023 0
Giu 01, 2023 0
Mag 31, 2023 0
Mag 31, 2023 0
Giu 05, 2023 0
Lo State of Ransomware Report 2023 di Sophos ha evidenziato...Giu 01, 2023 0
Kaspersky ha pubblicato il suo Incident Response report,...Mag 31, 2023 0
A margine del Security Day, il principale evento dedicato...Mag 31, 2023 0
Lo scorso 3 maggio Discord ha annunciato...Mag 30, 2023 0
Veeam ha pubblicato i risultato del 2023 Ransomware Trends...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mag 31, 2023 0
Lo scorso 3 maggio Discord ha annunciato...Mag 30, 2023 0
Mandiant ha individuato un nuovo malware creato per colpire...Mag 29, 2023 0
La carenza di esperti di sicurezza ha portato le imprese...Mag 26, 2023 0
Il ricercatore di sicurezza vdohney ha individuato e...Mag 25, 2023 0
La patch di Microsoft che avrebbe dovuto risolvere la...