NIS2: solo un anno per completare l’adeguamento. Primo step: il nostro Assessment

12/09/2023
di Alessandro Cecchetti

NIS2: solo un anno per completare il percorso di adeguamento a una norma (la Direttiva Europea n. 2555/2022) che impone ai soggetti che erogano servizi o producono beni definiti essenziali e importanti, di adottare misure tecniche e organizzative adeguate e proporzionate per la gestione dei rischi cui sono esposti i propri sistemi informatici e di rete, funzionali alla fornitura del loro business.

L’assessment, il primo fondamentale passo per evitare brutte sorprese

In un ecosistema europeo, ed anche internazionale, in cui gli attacchi ormai sono quotidiani e colpiscono indiscriminatamente strutture più o meno articolate, diviene necessario capire, preliminarmente all’applicazione delle specifiche della norma, il proprio contesto e come dimostrare di aver effettuato una analisi effettiva e proporzionata alla tipologia di informazioni trattate, all’erogazione del servizio ed alle ripercussioni che determinate scelte di natura informatica, potrebbero andare ad impattare sugli investimenti.

Vuoi approfondire le tue esigenze in tema di NIS2?

Ti aspettiamo al prossimo Colin Focus Day il 4 ottobre alle 11.00

L’accountability, filo rosso del legislatore europeo, nella NIS2

Ricordiamo infatti, come la norma si basi sul concetto di accountability, e quindi sulla formula ANALIZZO – VALUTO – ADOTTO SOLUZIONI DIMOSTRABILI. Ad oggi già molte aziende si sono attivate, sia perché l’analisi preliminare potrebbe innescare una serie di azioni che sotto il profilo tecnologico hanno tempistiche ampie, sia perché le conseguenze di natura sanzionatoria hanno impatti particolarmente rilevanti. Ricordiamo infatti che le sanzioni pecuniarie amministrative variano a seconda della tipologia di soggetti:

  • per quelli essenziali sono pari a un massimo di almeno 10.000.000 EUR o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo
  • per quelli importanti le sanzioni pecuniarie amministrative sono pari a un massimo di almeno 7.000.000 EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo.

Le sanzioni non sono solo economiche

Non è solo l’aspetto relativo all’impatto economico che ha portato ad una accelerazione nella progettazione dell’adeguamento normativo alla NIS2; vi sono infatti conseguenze in caso di mancata applicazione, che impattano direttamente sulla vita del soggetto giuridico e su chi ne decide le sorti, potendo anche incorrere nella sospensione di un certificato o un’autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale; piuttosto che nel divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali a livello di amministratore delegato o rappresentante legale in tale soggetto essenziale di svolgere funzioni dirigenziali in tale soggetto. Alla luce anche di questi aspetti, è logico effettuare una valutazione preliminare sul perimetro di intervento che consenta di definire quali servizi (e quali fornitori) rientrino nell’obbligo di applicazione, quali misure di sicurezza lato logico – e fisico – possano soddisfare gli obblighi di legge ed eventualmente quale piano di azione correttiva occorra applicare. Sul fronte dei soggetti direttamente coinvolti rispetto all’organizzazione interna, è d’obbligo inquadrare i ruoli e responsabilizzare rispetto alle singole azioni di prevenzione, monitoraggio e rimedio in caso di attacco.

NIS2: l’occasione per razionalizzare e formare in tema di sicurezza

Ricordiamo la genesi della NIS2: il contesto è europeo ed implica la necessità di dimostrare mediante documentazione ed azioni efficaci, come la protezione sia attuata da chi svolge servizi essenziali o importanti. Non è pertanto sufficiente basarsi su una rilevazione dello status attuale, ma consentire in caso di controllo o contestazione, di conoscere la logica applicata ad eventuali investimenti, scelte organizzative, modalità operative sussistenti. Tutto questo deve anche essere storicizzato: sia l’analisi preventiva sia tutti gli step successivi affrontati sulla base della valutazione dei rischi che saranno identificati. Tale analisi non può limitarsi a prendere in considerazione gli elementi puramente connessi alla sicurezza logica e fisica, ma dovrà necessariamente contemplare anche gli aspetti correlati al comportamento umano laddove possa generare delle vulnerabilità. Ecco perché nella valutazione dei rischi una voce riguarda il livello formativo delle risorse coinvolge nei servizi essenziali. Quindi dalle soluzioni di antintrusione, alla preparazione del personale coinvolte ed alle procedure scritte che possano testimoniare indicazioni pratiche di prevenzione e gestione degli incidenti, fino a valutare l’impatto rispetto ai fornitori ed alle misure di sicurezza che a loro volta debbono essere in grado di garantire. La valutazione dei rischi deve basarsi ovviamente su elementi interni, ma laddove esternalizzata la gestione parziale di un servizio o delle informazioni afferenti allo stesso, il tema dell’accountability coinvolgerà anche il fornitore.

Riproduzione riservata ©

ALTRE NEWS

Webcam negli asili: necessità e proporzionalità del trattamento. Appigli contro una deriva verso “l’ipersorveglianza”

Partiamo dal fatto, ormai noto. Il Garante ha vietato l’uso delle webcam installate in un asilo nido privato di Ravenna. La struttura privata aveva addotto… Leggi Tutto

Il download non è reato!

Ancora una sentenza in materia di diritto d’autore, software e download. Stavolta a pronunciarsi è la Terza Sezione della Corte di Cassazione, che lo scorso… Leggi Tutto

Al via il ciclo di webinar sul Diritto Informatico

  Tutelare il patrimonio informativo aziendale e accrescere il livello di competitività sul mercato. Questa la grande sfida delle imprese, chiamate oggi più che mai… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form