Possiamo dire con certezza che questo è ufficialmente l’anno della NIS 2, una direttiva destinata a rivoluzionare tutto il sistema della cybersecurity europea, soprattutto per quanto riguarda le grandi imprese.
Si tratta di una questione che coinvolge strategia, responsabilità e compliance governativa.
Per le imprese strutturate, con un ruolo chiave per l’economia e la società, il rispetto e l’applicazione della NIS 2 imporrà un vero e proprio cambio di paradigma, dalla protezione aziendale in senso stretto alla governance del rischio.
Di cosa parliamo con la Direttiva NIS 2?
L’acronimo NIS sta per Network and Information Security e la prima direttiva europea in ambito di cybersicurezza risale già al 2016. Oggi, però, con l’evoluzione delle minacce informatiche e l’aumento della digitalizzazione aziendale, è necessario un approccio più strutturato.
È così che la NIS 2 è entrata ufficialmente in vigore nel gennaio 2023 ed è stata allargata agli tutti gli stati che hanno deciso di aderire entro l’ottobre del 2024.
Nel nostro Paese l’applicazione è già in uno stato avanzato, ma le grandi aziende stanno ancora implementando misure adeguate, al netto del fatto che i cyber attacchi diventano con il tempo sempre più sofisticati e bisogna essere pronti su qualsiasi fronte per tenere testa a tutto.
Un cyber attacco, infatti, può causare un impatto sistemico con forti interruzioni nei servizi e le sanzioni possono raggiungere anche i dieci milioni di euro.
Il segmento Large Enterprise e la NIS 2
La NIS 2 allarga significativamente il perimetro dei soggetti coinvolti. Infatti, oltre ai gestori dei servizi essenziali, come energia, trasporti, banche e infrastrutture digitali, la NIS 2 si applica anche alle imprese nei settori: ICT e cloud service provider, manifatturiero tecnologico, sanità e biotecnologia, pubblica amministrazione, e-commerce e servizi digitali strategici-
Nella pratica, tutte le large enterprise con un ruolo strategico e critico per la società e l’economia sono chiamate obbligatoriamente ad adeguarsi.
Quali sono i principali aggiornamenti?
Le parole chiave che riguardano la direttiva NIS 2 sono fondamentalmente tre:
- gestione del rischio
- accountability
- continuità operativa
Su queste si sviluppano i pilastri di applicazione, ovvero:
- il risk/based approach, in quanto non esiste una checklist valida per tutti. Ogni organizzazione ha il compito di valutare singolarmente il proprio profilo di rischio;
- il ruolo attivo del management, ovvero è il consiglio di amministrazione l’organo direttamente responsabile della profilazione e dell’attuazione della strategia di cybersecurity;
- gli obblighi di notifica, ovvero l’obbligo di segnalare entro 24 ore eventuali incidenti significativi;
- la supply chain security, nel senso che le aziende singolarmente devono anche verificare la postura di sicurezza dei propri fornitori;
- i piani di continuità e risposta agli incidenti, obbligatori e da testare periodicamente.
La NIS 2 come leva di competitività
L’adeguamento alla direttiva NIS 2 non è solo un obbligo normativo, ma una vera e propria occasione per rafforzare la governance IT, migliorare la fiducia degli stakeholder e valorizzare gli investimenti in innovazione.
Per le large enterprise, la sicurezza informatica è diventata una metrica strategica, perché i clienti la pretendono e gli investitori la monitorano.
Essere compliant con NIS 2 corrisponde ad avere un framework solido, scalabile e integrato nei processi di business.
Come prepararsi alla NIS 2
Adeguarsi alla NIS 2 richiede un percorso strutturato, ma soprattutto necessario. Gli step previsti sono:
- l’assessment iniziale, per valutare il livello di maturità;
- la definizione della roadmap di conformità, con obiettivi chiari e misurabili;
- la formazione e coinvolgimento del management e delle funzioni chiave;
- il monitoraggio continuo e l’aggiornamento dei sistemi e delle policy.
Per questo, affidarsi a partner con competenze verticali sulla cybersecurity, risk management e normative europee è importantissimo per affrontare questa sfida in maniera efficace.
Al momento, le large enterprise che agiscono strategicamente saranno anche quelle in grado di gestire il rischio, proteggere la propria reputazione e guadagnare un vantaggio competitivo reale sui competitor.
NIS 2: il momento giusto è adesso!
NIS 2 è molto più di una direttiva, perché agisce come cartina tornasole per la valutazione della maturità digitale di un’impresa.
Il team di InfoAziende è di supporto nell’adeguamento alla direttiva, anche nella messa in atto dei passaggi operativi, sempre al fianco delle grandi imprese nel percorso di compliance e trasformazione digitale.
Contattaci per ricevere una consulenza personalizzata: https://infoaziende.net/contatti/