Secondo il rapporto Clusit 2023, negli ultimi 5 anni gli attacchi cyber globali sono aumentati del 60%, e dal 2022 le conseguenze sociali ed economiche si sono aggravate.
Con l’incessante aumento delle minacce informatiche, l’Unione Europea si sta quindi preparando ad introdurre normative più stringenti per rafforzare la sicurezza informatica delle imprese. La direttiva NIS2 (Network and Information Systems 2) e il regolamento DORA (Digital Operational Resilience Act) delineano nuovi obblighi e regolamenti che moltissime aziende dovranno affrontare per garantire una protezione avanzata contro le minacce digitali.
In questo articolo, esploreremo gli aspetti chiave di NIS2 e DORA, mettendo in luce quali sono gli obblighi essenziali chi li deve rispettare.
NIS2: una prospettiva sulla sicurezza chiave di reti e sistemi
La direttiva NIS2 è un passo significativo per migliorare la resilienza delle reti e dei sistemi informatici nell’Unione Europea. Essa si propone di estendere le disposizioni della prima direttiva NIS, ampliando la portata delle imprese coinvolte e introducendo requisiti più rigorosi. Le aziende saranno chiamate a rafforzare i loro meccanismi di sicurezza informatica per proteggere i servizi essenziali e le infrastrutture critiche.
Quali sono le organizzazioni devono adeguarsi alle nuove esigenze digitali?
Dalle informazioni fino ad oggi divulgate, è automaticamente in perimetro NIS2 un bacino piuttosto ampio di imprese, grandi e medie, appartenenti ai seguenti settori:
- Energia
- Trasporti
- Settore bancario
- Infrastrutture dei mercati finanziari
- Settore sanitario
- Acqua potabile
- Acque reflue
- Infrastrutture digitali
- Gestione dei servizi TIC
- Pubblica amministrazione
- Spazio
- Servizi postali e dei corrieri
- Gestione dei rifiuti
- Fabbricazione, produzione e distribuzione di sostanze chimiche
- Produzione, trasformazione e distribuzione di alimenti
- Fabbricazione
- Fornitori di servizi digitali
- Ricerca
Regolamento DORA: focalizzato sull’operational resilience digitale
Il regolamento DORA si applica agli istituti finanziari e assicurativi, e si concentra sull’operational resilience digitale, colmando le lacune nel quadro normativo attuale. Introduce norme specifiche per garantire che le aziende mantengano un funzionamento continuo e sicuro.
DORA impone obblighi specifici per la gestione dei rischi, la prevenzione delle minacce e la risposta alle violazioni, con l’obiettivo di preservare l’integrità e la sicurezza delle operazioni digitali.
Obblighi chiave per le aziende: preparazione alla NIS2 e al regolamento DORA
- Maggiore coinvolgimento:
NIS2 estende la sua portata a un numero più ampio di imprese, coinvolgendo non solo operatori di servizi essenziali ma anche fornitori di servizi digitali. Le aziende saranno tenute a identificare e mitigare i rischi di sicurezza informatica in un contesto più ampio, con una maggiore enfasi sulla collaborazione e la condivisione delle informazioni.
- Strutturare security operation center (SOC) avanzati:
la necessità di implementare SOC avanzati diventa cruciale sotto NIS2 e DORA. Le aziende saranno tenute a mantenere una presenza di sicurezza digitale attiva, monitorando costantemente le minacce e rispondendo prontamente a incidenti di sicurezza.
- Gestire criticità e violazioni:
entrambe le normative sottolineano la necessità di una gestione avanzata delle criticità e delle violazioni. Le aziende dovranno sviluppare e testare piani di risposta alle violazioni, garantendo che siano pronti ad affrontare qualsiasi emergenza digitale in modo tempestivo ed efficace.
- Usare tecnologie avanzate:
l’implementazione di tecnologie avanzate, come l’intelligenza artificiale e l’automazione, sarà incoraggiata per migliorare la capacità delle aziende di prevenire, rilevare e rispondere alle minacce digitali in modo più efficiente.
- Conformità ai requisiti di reportistica:
le aziende saranno tenute a rispettare requisiti più rigorosi per la reportistica delle violazioni e delle criticità. La trasparenza diventa fondamentale per garantire che le autorità e gli utenti finali siano informati in modo completo e tempestivo.
Come si preparano le aziende per affrontare le criticità
NIS2 e DORA segnano un nuovo capitolo nella sicurezza informatica, richiedendo alle aziende un approccio olistico per affrontare le criticità digitali in evoluzione. L’implementazione di soluzioni avanzate, la collaborazione tra le aziende e l’adattamento continuo alle nuove minacce diventano imperativi per garantire la conformità e la sicurezza operativa.
Prepararsi ora a questi obblighi è essenziale per navigare con successo nel futuro digitale, proteggendo non solo le operazioni aziendali ma anche la fiducia dei clienti e degli stakeholder.
Gli obblighi della NIS2 diverranno applicabili a partire dal 18 ottobre 2024, ma è consigliabile per le aziende muoversi fin da subito per aumentare le capacità di resilienza, risposta agli incidenti e sicurezza informatica.
Come ci si prepara agli obblighi cyber?
Innanzitutto, bisogna valutare il proprio livello attuale di conformità, mettendo in luce i punti di forza e di debolezza dell’infrastruttura IT, per poter pianificare per tempo i necessari interventi di adeguamento.
Scrivici subito e richiedi un’Analisi Tecnica. Sarà il punto di partenza per elaborare una strategia su misura per le tue esigenze!
