Aggiornamenti recenti Dicembre 1st, 2023 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Okta, altro che 1%: il breach ha colpito tutti gli utenti
- Google potenzia le difese contro lo spam con RETVec
- IA, QR Code e visori al servizio degli attaccanti: le cyber-previsioni di WatchGuard per il 2024
- Carenza di competenze di cybersecurity: un quarto delle imprese vuole affidarsi agli MSP
- Black Friday ghiotto per il cybercrimine: in vendita 30 milioni di dati di utenti italiani
NIS2: le imprese europee devono adattarsi a nuovi requisiti di sicurezza
Nuove regolamentazioni all’orizzonte: dopo il GDPR, le imprese europee dovranno preoccuparsi anche della NIS2 (Network and Information System Security). Pubblicata il 27 dicembre 2022 ed entrata in vigore lo scorso 16 gennaio, la direttiva prevede nuovi standard di cybersecurity per compagnie di diversi settori. Josue Ledesma di Bitdefender ha condiviso un’ottima panoramica sull’ultima versione della direttiva e sull’impatto che avrà sulle organizzazioni.
La NIS2 è la seconda versione di una regolamentazione già attiva dal 2016. La prima stesura è poco conosciuta perché coinvolgeva molte meno aziende e descriveva requisiti poco stringenti; queste nuove disposizioni, al contrario, coinvolgono compagnie appartenenti a diversi settori e impongono regole più ferree per la cybersecurity e la gestione del rischio aziendale.
I requisiti di NIS2 e le imprese impattate
Con le ultime indicazioni europee in materia di sicurezza informatica, le imprese devono adattare i propri sistemi e processi per rispettare i nuovi requisiti. Come riportato da Ledesma, l’Unione Europea impone alle imprese di gestire il rischio all’interno del loro network e dei loro sistemi informativi; viene richiesto poi di implementare un set di misure di sicurezza per la gestione delle vulnerabilità e del cyber rischio.
Freepik
La Commissione Europea pone l’attenzione in particolare sulla supply chain, e richiede alle aziende di concentrarsi sulla protezione dei processi più a rischio. Le imprese dovranno inoltre definire un team di professionisti esperti in cybersecurity, che si occuperà di monitorare e approvare le misure di sicurezza. In caso di incidente, le organizzazioni dovranno rispondere in una finestra che va dalle 24 alle 72 ore dalla sua individuazione; entro un mese dovranno poi consegnare agli organi di competenza un report dettagliato sull’accaduto.
Il NIS2 individua due tipi di imprese: le “essenziali” e le “importanti”. Le prime sono compagnie con più di 250 dipendenti e un fatturato di 50 milioni -; le seconde sono compagnie che hanno tra i 50 e i 250 dipendenti e un fatturato annuale di 10 milioni.
Delle prime fanno parte imprese dei settori energetico, dei trasporti, bancario e finanziario, delle bevande e della gestione dei rifiuti, di infrastrutture digitali e gestione di servizi ICT, spaziale e aeronautico, e quelle della pubblica amministrazione. Le organizzazioni “importanti” comprendono invece i servizi di posta e corrieri, le industri del settore chimico e manifatturiero, provider digitali e organizzazioni di ricerca. Saranno i singoli stati dell’Unione a definire la lista delle imprese di una e dell’altra categoria che dovranno rispettare le nuove indicazioni del NIS.
Freepik
Controlli più stringenti e multe più salate
Rispetto alla prima versione del NIS, le nuove indicazioni non solo impongono regole più severe, ma prevedono anche controlli periodici dagli organi designati. Per assicurare un maggior rispetto delle direttive l’Unione Europea eseguirà ispezioni on-site e audit di sicurezza. Oltre alla documentazione consegnata dalle imprese, la Commissione potrebbe richiedere ulteriori informazioni sulle misure in atto per misurare il livello di gestione del rischio.
Le imprese hanno fino al 18 ottobre 2024 per adattare la propria infrastruttura affinché aderisca alle nuove disposizioni di sicurezza. Le multe per il mancato rispetto dei termini arrivano fino a 7 milioni di dollari o l’1,4% del fatturato per le imprese importanti, mentre per le organizzazioni “essenziali” le sanzioni arrivano a 10 milioni di dollari o il 2% del fatturato. In entrambi i casi verrà scelto il valore più alto tra i due.
Freepik
Le imprese europee dovrebbero già cominciare a valutare lo stato dei propri sistemi e adeguarli ai nuovi standard di sicurezza. Bitdefender consiglia di identificare le unità e i dipartimenti che rientrano nello scope di NIS2, valutare la qualità dell’attuale gestione del rischio e definire nuove misure di sicurezza per rendere i sistemi conformi ai nuovi requisiti. L’implementazione delle nuove misure passa per una strategia d’azione ben definita, e dovrà coinvolgere anche eventuali fornitori.
Condividi l'articolo
Le minacce più diffuse in EMEA secondo Akamai
Ogni riscatto ransomware pagato finanzia altri 9 attacchi
Articoli correlati
Altro in questa categoria
Approfondimenti
-
IA, QR Code e visori al servizio degli attaccanti: le... L’avvicinarsi della fine dell’anno coincide con... -
Carenza di competenze di cybersecurity: un quarto delle... Gli attacchi informatici crescono in numero e in... -
Black Friday ghiotto per il cybercrimine: in vendita 30... Yarix, divisione Digital Security di Var Group, ha... -
I trend delle minacce APT del 2024 Le minacce APT sono tra le più pericolose nel panorama... -
Black Friday e Cyber Monday: è il periodo delle truffe... Secondo l’ultima ricerca di Bitdefender, le truffe...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Okta, altro che 1%: il breach ha colpito tutti gli utenti Okta, la società americana di gestione delle identità, ha... -
Google potenzia le difese contro lo spam con RETVec Google ha rilasciato RETVec, uno strumento open-source per... -
AWS presenta Amazon One Enterprise per autenticarsi col... Durante il re:Invent, la conferenza annuale di Amazon Web... -
Defender Application Guard for Office è ufficialmente... Microsoft ha annunciato che Defender Application Guard for... -
Un gruppo hacktivista iraniano ha colpito un centro idrico... L’autorità idrica comunale di Aliquippa, una città...
Jargon room
Tutorial, guide e altre piccole idee per la sicurezza informatica
Ransomware: la serie
No posts found.
