Direttiva NIS2: il ruolo dei soggetti interni

19/09/2023
di Alessandro Cecchetti

La Direttiva NIS 2 mira a responsabilizzare gli operatori che offrono servizi importanti o essenziali sul tema cybersicurezza. Nell’era digitale la cybersicurezza è diventata, infatti, una priorità assoluta per le aziende ma anche per le pubbliche amministrazioni e gli enti pubblici. Le minacce informatiche sono sempre in aumento ed enti e aziende devono necessariamente adottare un approccio olistico, al fine di tutelare i propri sistemi, e di conseguenza, le persone.

Quali sono i soggetti interni coinvolti nell’applicazione della Direttiva NIS2?

Anzitutto, gli organi di gestione degli enti NIS2 saranno tenuti ad approvare le misure di gestione dei rischi di cybersicurezza in chiave organizzativa, anche sovraintendendo alla loro attuazione; potendo essere ritenuti responsabili di violazione per la non conforme adozione delle misure suddette. A loro il compito di introdurre anche una cultura della sicurezza informatica all’interno dell’ente, stabilendo pratiche di igiene informatica di base e predisponendo piani di formazione ed aggiornamento per tutto il personale, assicurandosi di allocare le risorse necessarie a tal fine.

Vuoi approfondire le tue esigenze in tema di NIS2?

Ti aspettiamo al prossimo Colin Focus Day il 4 ottobre alle 11.00

Il comparto ICT

Rappresenta sicuramente uno dei principali driver per la compliance degli aspetti informatici, in quanto sarà competente a predisporre, sviluppare, configurare tutte le misure di sicurezza in senso tecnico. Si pensi alla gestione della continuità operativa coi piani di backup e Disaster Recovery, alla manutenzione dei sistemi informatici, alla rilevazione ed alla gestione mediante piani di remediations dimostrabili; come pure l’impiego di meccanismi di crittografia per una migliore salvaguardia delle informazioni, sulla scorta delle indicazioni contenute nelle politiche interne di sicurezza informatica. Tra gli altri, sarà loro il compito di coadiuvare l’azienda ad individuare il perimetro rilevante ai fini NIS2, presidiandolo e monitorandolo. Posto che la NIS2 richiede che le misure di sicurezza informatica siano adeguate e proporzionate ai rischi esistenti, sarà necessario eseguire una mappatura delle eventuali vulnerabilità nella rete e nei sistemi informatici, anche mediante test di penetrazione. A tal proposito, si segnala come la NIS2 preveda che il CSIRT nazionale (Squadra di risposta agli incidenti di sicurezza informatica), dietro richiesta dell’ente NIS2, possa eseguire una scansione proattiva dei sistemi dell’ente stesso, per individuare le vulnerabilità con potenziale impatto significativo. Tale scansione non avrà alcun impatto negativo sul funzionamento dei servizi degli enti. Sarà l’IT a fornire supporto operativo per cicoscrivere l’evento e ad assistere l’azienda nel segnalare incidenti informatici significativi al CSIRT nazionale o all’autorità competente.

Il settore legale/compliance

Avrà cura di valutare i protocolli di prevenzione ex D.lgs. 231/2001 con particolare riferimento ai delitti informatici e di trattamento illecito dei dati e le altre procedure eventualmente presenti per stimarne la funzionalità alla NIS2 e valutarne l’implementazione di nuove. Da notare che già il D.L. 105/2019, istitutivo del Perimetro di sicurezza nazionale cibernetica, aveva introdotto una nuova fattispecie di reato presupposto che andava – e va – a punire la mancata conformità alle disposizioni di cui al Perimetro stesso. Visto ciò, non è da escludere che in sede di recepimento della NIS2 da parte dell’Italia, verranno introdotte norme incriminatrici per la non conformità alle disposizioni NIS2 – seppur la Direttiva preveda solo sanzioni pecuniarie amministrative e misure di esecuzione. Anche per quanto riguarda la gestione delle segnalazioni (Whistleblowing), sarà necessario valutare l’implementazione dei sistemi di segnalazione a potenziale impatto rispetto alla sicurezza informatica.

In chiave protezione dei dati personali e privacy, un incidente informatico può comportare anche una violazione di dati personali (data breach): per cui sarà necessaria non solo la segnalazione di incidente – qualora significativo – ai sensi della NIS2; ma pure la notifica di violazione dati al Garante. Inoltre, prodotti processi e servizi TIC dovranno essere conformi ai principi di data protection by design e by default di cui al GDPR.

Il settore acquisti

Quest’ultino giocherà un ruolo non secondario nell’attuazione della NIS2. Sarà infatti necessario dotarsi di prodotti, processi e servizi TIC (Tecnologie dell’Informazione e della Comunicazione) sicuri fin dalla progettazione e per impostazione predefinita – in ossequio ai principi di security by design e by default, di cui al Regolamento europeo sulla cybersicurezza (2019/881) – e quindi adeguare la contrattualistica in tal senso. Dovrà poi essere valutata la possibilità di impiegare specifici prodotti, processi e servizi TIC, rientranti in un determinato sistema europeo di certificazione della cybersicurezza, di cui al Regolamento già citato, anche su indicazione delle autorità competenti.

Tutto il personale

Da ultimo, ma non per importanza, l’intera popolazione aziendale dell’ente soggetto alla NIS2, grazie a corsi di formazione ed aggiornamento, dovrà tenere comportamenti idonei a prevenire, ed eventualmente mitigare, potenziali incidenti informatici, comprendendo realmente quali siano i rischi nell’utilizzo delle tecnologie informatiche; anche alla luce del crescente numero di dispositivi connessi ed interconnessi sempre più utilizzati negli attacchi informatici.

Il rischio zero non esiste: il fattore umano risulta decisivo nella sicurezza informatica; la prevenzione è la migliore arma contro i rischi derivanti dall’impiego delle tecnologie informatiche. La tutela della sicurezza informatica è presupposto essenziale, oggi – e domani – più che mai, per la transizione digitale e quindi l’informatizzazione.

Riproduzione riservata ©

ALTRE NEWS

Accordo di cooperazione tra Italia e Albania sui Call Center

Una grande spinta verso una più strutturata operazione di tutela dei dati personali dei cittadini italiani e albanesi raccolti e utilizzati da Call Center che operano in… Leggi Tutto

Il florido mondo delle videolottery e la videosorveglianza

Il mondo delle videolottery, e più ampiamente quello del gioco d’azzardo (legalizzato), rappresentano realtà economiche floride all’interno di una generalizzata situazione d’emergenza economica; soprattutto in… Leggi Tutto

Lettura casella di posta elettronica da parte del datore di lavoro: lecito?

La questione inerente l’accesso da parte del datore di lavoro alla casella di posta elettronica in uso del dipendente, pone due problematiche di tipo giuridico:… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form