La recente Direttiva UE 2022/2555 (c.d. NIS 2), recepita in Italia con il D. Lgs. 138/2024, impone a molte organizzazioni il rafforzamento delle proprie misure di cybersecurity al fine di garantire un livello elevato di sicurezza informatica in ambito nazionale e contribuendo, inoltre, ad incrementare il livello comune di sicurezza nell’Unione europea in modo da migliorare il funzionamento del mercato interno.
In maniera sintetica, si riporta di seguito l’elenco delle misure imprescindibili che i soggetti essenziali e importanti che rientrano nel perimetro nella Direttiva sono tenuti ad implementare:
- politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
- gestione degli incidenti;
- continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
- sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e la sua catena di fornitura di prodotti e servizi;
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
- strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza;
- pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
- politiche e procedure relative all’uso della crittografia;
- sicurezza delle risorse umane e strategie di controllo dell’accesso;
- uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
Come per il Reg. UE 2016/679 (GDPR), l’approccio basato sull’analisi dei rischi è quello vincente per intraprendere un corretto percorso di adeguamento e mantenimento della conformità. L’obiettivo è proteggere i sistemi informatici, e il loro ambiente fisico, da incidenti e attacchi.