Hai già fatto il primo passo per adeguarti alla NIS2?

14/02/2024
di Valentina Frediani

La scadenza di ottobre 2024 – termine entro cui gli Stati Membri dovranno recepire la Direttiva UE 2022/2555, meglio nota con il nome di “NIS2” – individua un orizzonte temporale ben preciso entro cui i soggetti interessati da tale normativa dovranno ottemperare a tutti gli adempimenti del caso.

Vuoi approfondire le tue esigenze in tema di NIS2?

Ti aspettiamo al prossimo Colin Focus Day mercoledì 21 febbraio alle 11.00

Rispetto alla precedente direttiva “NIS” del 2016, occorre prima di tutto fare i conti con una nuova categorizzazione, ovvero quella che distingue, a prescindere dalla loro natura pubblica o privata, tra soggetti “essenziali” e soggetti “importanti”, in base ad indici definiti nella “NIS2”, tra cui tipologia dei servizi offerti e dimensioni. Determinare se un’azienda o un ente pubblico rientri in queste categorie è fondamentale, sia per una corretta gestione delle attività di valutazione ed eventuale intervento a livello “interno”, sia perché tali soggetti dovranno comunicare una serie di informazioni alle autorità competenti di ciascun Stato membro, al fine di consentire la redazione di un elenco.

Quali sono i primi passi?

Con la valutazione del proprio ruolo di soggetto “essenziale” o “importante” si iniziano a tracciare le linee di confine rispetto a quali aspetti della propria organizzazione rientrino sotto l’ambito di applicazione diretto della “NIS2” e, di conseguenza, analizzarne il livello di implementazione e compliance rispetto agli standard settati dalla Direttiva UE 2022/2555.

L’obbiettivo è ovviamente puntato in via principale sulla cybersicurezza: la “NIS2” individua una serie di elementi minimi rispetto ai quali effettuare una valutazione dei rischi, dal ricorso alla crittografia e cifratura, alle procedure di backup e continuità operativa, alla gestione degli incidenti; queste attività di analisi dovranno essere condotte non solo sull’infrastruttura, ma – e qui sta un ulteriore passaggio chiave per il corretto svolgimento delle valutazioni – su tutti quegli applicativi che siano funzionali (se non addirittura fondamentali) per la gestione ed erogazione dei servizi che qualificano il soggetto come “essenziale” o “importante”.

La sicurezza non è solo questione di tecnologie: processi e procedure

La tematica della sicurezza non si esaurisce però soltanto nelle questioni tecniche: la componente procedurale, con policy e processi dedicati, ha un peso specifico importante, ed è anch’essa un tema da attenzionare in vista della compliance alla “NIS2”. Monitorare la sussistenza di modelli organizzativi e valutarne la diffusione e conoscenza nella realtà dell’azienda/ente è un altro punto dell’esame da condurre sulla propria struttura. In concreto: si pensi all’obbligo di segnalazione sancito all’art. 23 della “NIS2”, in cui sono previsti termini perentori di notifica (sulla falsariga di quanto dettato in tema “data breach” dal GDPR) e specifici contenuti da portare all’attenzione dei team di risposta agli incidenti di sicurezza informatica (CSIRT) nazionali: come potrebbe essere possibile adempiere a tali previsioni senza essersi dotati, all’interno della propria organizzazione, di misure adeguate ad individuare quali attività intraprendere e quali figure coinvolgere?

La Supply Chain: come gestirla rispetto alla NIS2

Un ulteriore tassello è rappresentato dall’esame della catena dei fornitori di cui si avvale l’azienda/ente e del loro impatto sui servizi rilevanti ai fini della “NIS2”: la consapevolezza di quali e quanti siano questi soggetti, oltre alla conoscenza della portata delle attività da questi svolte, consente innanzitutto di comprendere se essi rientrino o meno nel perimetro della Direttiva, anche solo per un segmento di attività erogate. Inoltre, diventano fondamentali, nell’ottica della normativa, le attività di audit sui fornitori, specie – come appare chiaro – se questi abbiano un considerevole impatto sul perimetro tecnologico e sulla sua salvaguardia.

Risulta pertanto evidente come condurre un assessment complessivo su questi aspetti, guardandoli dal punto di vista della Direttiva, abbia molteplici vantaggi:

  • Individuare cosa abbia rilevanza o meno rispetto a quanto richiesto dalla normativa, consentendo così di ottimizzare tempi ed effort;
  • Determinare lo stato dell’arte in termini di sicurezza – sotto il profilo tecnico e organizzativo – e, di conseguenza, programmare gli interventi correttivi necessari;
  • Racchiudere l’assessment all’interno di un assetto documentale definito, così da poter dimostrare, in caso di controllo, le scelte effettuate.

Le sanzioni: la NIS2 è di certo una normativa di grande impatto

È opportuno porre un accento su quest’ultimo punto: come già visto per il GDPR, sono state previste dalla “NIS2” sanzioni ad “assetto variabile”. Infatti, per i soggetti “essenziali” vengono prescritte potenziali sanzioni con un importo massimo di 10 milioni di euro o fino al 2% del fatturato, a seconda di quale ammontare risulti più elevato; per i soggetti “importanti”, i massimali sono inferiori, con un massimo di 7 milioni di euro o l’1,4% del loro fatturato, sempre a seconda di quale importo risulti più elevato. Senza contare le possibili conseguenze che potranno essere applicate dalle autorità competenti a livello di Stati membri – tra cui, la sospensione temporanea di una certificazione o di un’autorizzazione relativa a una parte o alla totalità dei servizi pertinenti forniti, o divieto temporaneo all’esercizio di funzioni dirigenziali per le persone fisiche che svolgano funzioni a livello di amministratore delegato o rappresentante legale.

Come possiamo aiutarti

In attesa di conoscere nel dettaglio le linee guida che accompagneranno il recepimento occorre, senza dubbio, spendere il giusto tempo in una analisi preliminare che possa far comprendere il proprio livello di capacità di risposta e reazione alle minacce.

Affidati a Colin e richiedi una analisi preliminare: fai con noi il primo passo verso l’adeguamento.

Riproduzione riservata ©

ALTRE NEWS

Contraffazione brand su siti web: rilevante il luogo di realizzazione del portale

La recente decisione del Tribunale di Torino chiarisce i criteri di individuazione del foro territorialmente competente nelle ipotesi di contraffazione del marchio avvenuta tramite siti… Leggi Tutto

EXPO Milano: Internet of Things for Everything – L’Agenda

Mancano pochi giorni all’evento Colin & Partners, realizzato in collaborazione con Assinform, “Internet of Things for Everything – All’Expo la norma si fa attiva e… Leggi Tutto

Tecnocontrollo dei dipendenti, quando il Garante dice no

Su Punto Informatico, il commento dell’Avv. Valentina Frediani su un recente provvedimento del Garante che fa parlare nuovamente di privacy e controllo a distanza dei… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form