Direttiva NIS2: il ruolo dei soggetti interni

19/09/2023
di Alessandro Cecchetti

La Direttiva NIS 2 mira a responsabilizzare gli operatori che offrono servizi importanti o essenziali sul tema cybersicurezza. Nell’era digitale la cybersicurezza è diventata, infatti, una priorità assoluta per le aziende ma anche per le pubbliche amministrazioni e gli enti pubblici. Le minacce informatiche sono sempre in aumento ed enti e aziende devono necessariamente adottare un approccio olistico, al fine di tutelare i propri sistemi, e di conseguenza, le persone.

Quali sono i soggetti interni coinvolti nell’applicazione della Direttiva NIS2?

Anzitutto, gli organi di gestione degli enti NIS2 saranno tenuti ad approvare le misure di gestione dei rischi di cybersicurezza in chiave organizzativa, anche sovraintendendo alla loro attuazione; potendo essere ritenuti responsabili di violazione per la non conforme adozione delle misure suddette. A loro il compito di introdurre anche una cultura della sicurezza informatica all’interno dell’ente, stabilendo pratiche di igiene informatica di base e predisponendo piani di formazione ed aggiornamento per tutto il personale, assicurandosi di allocare le risorse necessarie a tal fine.

Vuoi approfondire le tue esigenze in tema di NIS2?

Ti aspettiamo al prossimo Colin Focus Day il 4 ottobre alle 11.00

Il comparto ICT

Rappresenta sicuramente uno dei principali driver per la compliance degli aspetti informatici, in quanto sarà competente a predisporre, sviluppare, configurare tutte le misure di sicurezza in senso tecnico. Si pensi alla gestione della continuità operativa coi piani di backup e Disaster Recovery, alla manutenzione dei sistemi informatici, alla rilevazione ed alla gestione mediante piani di remediations dimostrabili; come pure l’impiego di meccanismi di crittografia per una migliore salvaguardia delle informazioni, sulla scorta delle indicazioni contenute nelle politiche interne di sicurezza informatica. Tra gli altri, sarà loro il compito di coadiuvare l’azienda ad individuare il perimetro rilevante ai fini NIS2, presidiandolo e monitorandolo. Posto che la NIS2 richiede che le misure di sicurezza informatica siano adeguate e proporzionate ai rischi esistenti, sarà necessario eseguire una mappatura delle eventuali vulnerabilità nella rete e nei sistemi informatici, anche mediante test di penetrazione. A tal proposito, si segnala come la NIS2 preveda che il CSIRT nazionale (Squadra di risposta agli incidenti di sicurezza informatica), dietro richiesta dell’ente NIS2, possa eseguire una scansione proattiva dei sistemi dell’ente stesso, per individuare le vulnerabilità con potenziale impatto significativo. Tale scansione non avrà alcun impatto negativo sul funzionamento dei servizi degli enti. Sarà l’IT a fornire supporto operativo per cicoscrivere l’evento e ad assistere l’azienda nel segnalare incidenti informatici significativi al CSIRT nazionale o all’autorità competente.

Il settore legale/compliance

Avrà cura di valutare i protocolli di prevenzione ex D.lgs. 231/2001 con particolare riferimento ai delitti informatici e di trattamento illecito dei dati e le altre procedure eventualmente presenti per stimarne la funzionalità alla NIS2 e valutarne l’implementazione di nuove. Da notare che già il D.L. 105/2019, istitutivo del Perimetro di sicurezza nazionale cibernetica, aveva introdotto una nuova fattispecie di reato presupposto che andava – e va – a punire la mancata conformità alle disposizioni di cui al Perimetro stesso. Visto ciò, non è da escludere che in sede di recepimento della NIS2 da parte dell’Italia, verranno introdotte norme incriminatrici per la non conformità alle disposizioni NIS2 – seppur la Direttiva preveda solo sanzioni pecuniarie amministrative e misure di esecuzione. Anche per quanto riguarda la gestione delle segnalazioni (Whistleblowing), sarà necessario valutare l’implementazione dei sistemi di segnalazione a potenziale impatto rispetto alla sicurezza informatica.

In chiave protezione dei dati personali e privacy, un incidente informatico può comportare anche una violazione di dati personali (data breach): per cui sarà necessaria non solo la segnalazione di incidente – qualora significativo – ai sensi della NIS2; ma pure la notifica di violazione dati al Garante. Inoltre, prodotti processi e servizi TIC dovranno essere conformi ai principi di data protection by design e by default di cui al GDPR.

Il settore acquisti

Quest’ultino giocherà un ruolo non secondario nell’attuazione della NIS2. Sarà infatti necessario dotarsi di prodotti, processi e servizi TIC (Tecnologie dell’Informazione e della Comunicazione) sicuri fin dalla progettazione e per impostazione predefinita – in ossequio ai principi di security by design e by default, di cui al Regolamento europeo sulla cybersicurezza (2019/881) – e quindi adeguare la contrattualistica in tal senso. Dovrà poi essere valutata la possibilità di impiegare specifici prodotti, processi e servizi TIC, rientranti in un determinato sistema europeo di certificazione della cybersicurezza, di cui al Regolamento già citato, anche su indicazione delle autorità competenti.

Tutto il personale

Da ultimo, ma non per importanza, l’intera popolazione aziendale dell’ente soggetto alla NIS2, grazie a corsi di formazione ed aggiornamento, dovrà tenere comportamenti idonei a prevenire, ed eventualmente mitigare, potenziali incidenti informatici, comprendendo realmente quali siano i rischi nell’utilizzo delle tecnologie informatiche; anche alla luce del crescente numero di dispositivi connessi ed interconnessi sempre più utilizzati negli attacchi informatici.

Il rischio zero non esiste: il fattore umano risulta decisivo nella sicurezza informatica; la prevenzione è la migliore arma contro i rischi derivanti dall’impiego delle tecnologie informatiche. La tutela della sicurezza informatica è presupposto essenziale, oggi – e domani – più che mai, per la transizione digitale e quindi l’informatizzazione.

Riproduzione riservata ©

ALTRE NEWS

Archivio contro le frodi informatiche: semaforo rosso del Consiglio di Stato

Bloccato lo schema di Regolamento sull’archivio contro le frodi informatiche. Il Consiglio di Stato ha infatti ritenuto che la bozza predisposta dal Ministero dell’Economia e… Leggi Tutto

Siti web e Cookies: il 2 giugno si avvicina

E’ passato quasi un anno da quando il Garante per la Protezione dei dati Personali ha pubblicato il provvedimento n. 229 inerente la “individuazione delle… Leggi Tutto

Garante e nuovi controlli nel prossimo semestre: secondo piano ispettivo 2011

Dopo il primo piano ispettivo semestrale, che prevedeva controlli serrati su Investigatori privati, servizi informatici (in specifico se forniti attraverso “cloud computing”), istituti bancari, carte… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form