«Quali sono gli adempimenti che le aziende devono programmare per rispettare la direttiva NIS2 e il d.lgs. 138/2024, nell’ipotesi rientrino tra i soggetti considerati “importanti” dalla nuova disciplina?», chiede un lettore di Sicurezza.
Lo scopo della Direttiva NIS2 è quello di aumentare la resilienza delle aziende dal punto di vista della sicurezza informatica, alla luce della crescita degli attacchi in tutti i settori e dei costi determinati dalla perdita dei dati e dal blocco delle attività. Per tali ragioni, è necessario innanzitutto procedere a una valutazione dei prodotti offerti e servizi erogati, per capire se si rientra nel perimetro cibernetico nazionale e se è necessario iscriversi alla piattaforma dell’Agenzia per la Cybersicurezza Nazionale entro il 17 gennaio 2025.
Le aziende che riceveranno la conferma di far parte del gruppo di operatori di servizi importanti dovranno ispirare la propria sicurezza informatica ai parametri della norma ISO 27000 per la gestione delle informazioni (non solo dei dati personali) e rispettare i criteri della norma ISO 22301 per quanto riguarda la continuità operativa. In sintesi, sarà necessaria una periodica valutazione dei rischi per la sicurezza delle reti e dei sistemi informatici, avendo cura di nominare un responsabile per la sicurezza e di garantire la consapevolezza di amministratori e dipendenti attraverso un’adeguata pianificazione della formazione periodica.
Politiche e procedure per la gestione delle informazioni dovranno essere documentate e garantire adeguata risposta agli incidenti informatici, con piani di ripristino dei sistemi compromessi e tempi ragionevoli per il ritorno alla piena operatività, in base al settore di appartenenza. Gli incidenti rilevanti dovranno essere comunicati alle autorità e l’azienda dovrà garantire un monitoraggio continuo della propria sicurezza attraverso audit interni ed esterni da realizzare periodicamente.
