NIS2: solo un anno per completare l’adeguamento. Primo step: il nostro Assessment
NIS2: solo un anno per completare il percorso di adeguamento a una norma (la Direttiva Europea n. 2555/2022) che impone ai soggetti che erogano servizi o producono beni definiti essenziali e importanti, di adottare misure tecniche e organizzative adeguate e proporzionate per la gestione dei rischi cui sono esposti i propri sistemi informatici e di rete, funzionali alla fornitura del loro business.
L’assessment, il primo fondamentale passo per evitare brutte sorprese
In un ecosistema europeo, ed anche internazionale, in cui gli attacchi ormai sono quotidiani e colpiscono indiscriminatamente strutture più o meno articolate, diviene necessario capire, preliminarmente all’applicazione delle specifiche della norma, il proprio contesto e come dimostrare di aver effettuato una analisi effettiva e proporzionata alla tipologia di informazioni trattate, all’erogazione del servizio ed alle ripercussioni che determinate scelte di natura informatica, potrebbero andare ad impattare sugli investimenti.
Vuoi approfondire le tue esigenze in tema di NIS2?
Ti aspettiamo al prossimo Colin Focus Day il 4 ottobre alle 11.00
L’accountability, filo rosso del legislatore europeo, nella NIS2
Ricordiamo infatti, come la norma si basi sul concetto di accountability, e quindi sulla formula ANALIZZO – VALUTO – ADOTTO SOLUZIONI DIMOSTRABILI. Ad oggi già molte aziende si sono attivate, sia perché l’analisi preliminare potrebbe innescare una serie di azioni che sotto il profilo tecnologico hanno tempistiche ampie, sia perché le conseguenze di natura sanzionatoria hanno impatti particolarmente rilevanti. Ricordiamo infatti che le sanzioni pecuniarie amministrative variano a seconda della tipologia di soggetti:
- per quelli essenziali sono pari a un massimo di almeno 10.000.000 EUR o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo
- per quelli importanti le sanzioni pecuniarie amministrative sono pari a un massimo di almeno 7.000.000 EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo.
Le sanzioni non sono solo economiche
Non è solo l’aspetto relativo all’impatto economico che ha portato ad una accelerazione nella progettazione dell’adeguamento normativo alla NIS2; vi sono infatti conseguenze in caso di mancata applicazione, che impattano direttamente sulla vita del soggetto giuridico e su chi ne decide le sorti, potendo anche incorrere nella sospensione di un certificato o un’autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale; piuttosto che nel divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali a livello di amministratore delegato o rappresentante legale in tale soggetto essenziale di svolgere funzioni dirigenziali in tale soggetto. Alla luce anche di questi aspetti, è logico effettuare una valutazione preliminare sul perimetro di intervento che consenta di definire quali servizi (e quali fornitori) rientrino nell’obbligo di applicazione, quali misure di sicurezza lato logico – e fisico – possano soddisfare gli obblighi di legge ed eventualmente quale piano di azione correttiva occorra applicare. Sul fronte dei soggetti direttamente coinvolti rispetto all’organizzazione interna, è d’obbligo inquadrare i ruoli e responsabilizzare rispetto alle singole azioni di prevenzione, monitoraggio e rimedio in caso di attacco.
NIS2: l’occasione per razionalizzare e formare in tema di sicurezza
Ricordiamo la genesi della NIS2: il contesto è europeo ed implica la necessità di dimostrare mediante documentazione ed azioni efficaci, come la protezione sia attuata da chi svolge servizi essenziali o importanti. Non è pertanto sufficiente basarsi su una rilevazione dello status attuale, ma consentire in caso di controllo o contestazione, di conoscere la logica applicata ad eventuali investimenti, scelte organizzative, modalità operative sussistenti. Tutto questo deve anche essere storicizzato: sia l’analisi preventiva sia tutti gli step successivi affrontati sulla base della valutazione dei rischi che saranno identificati. Tale analisi non può limitarsi a prendere in considerazione gli elementi puramente connessi alla sicurezza logica e fisica, ma dovrà necessariamente contemplare anche gli aspetti correlati al comportamento umano laddove possa generare delle vulnerabilità. Ecco perché nella valutazione dei rischi una voce riguarda il livello formativo delle risorse coinvolge nei servizi essenziali. Quindi dalle soluzioni di antintrusione, alla preparazione del personale coinvolte ed alle procedure scritte che possano testimoniare indicazioni pratiche di prevenzione e gestione degli incidenti, fino a valutare l’impatto rispetto ai fornitori ed alle misure di sicurezza che a loro volta debbono essere in grado di garantire. La valutazione dei rischi deve basarsi ovviamente su elementi interni, ma laddove esternalizzata la gestione parziale di un servizio o delle informazioni afferenti allo stesso, il tema dell’accountability coinvolgerà anche il fornitore.