Direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l'Unione (direttiva NIS2) – Nuovi requisiti per migliorare la sicurezza delle reti e dei sistemi informatici.

La direttiva ha modernizzato il quadro giuridico esistente per tenere il passo con una maggiore digitalizzazione e un panorama in evoluzione delle minacce alla cibersicurezza. Estendendo l'ambito di applicazione delle norme in materia di cibersicurezza a nuovi settori e entità, migliora ulteriormente la resilienza e le capacità di risposta agli incidenti degli enti pubblici e privati, delle autorità competenti e dell'UE nel suo complesso.

La direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l'Unione (la direttivaNIS2) prevede misure giuridiche per rafforzare il livello generale di cibersicurezza nell'UE garantendo:

• La preparazione degli Stati membri, imponendo loro di essere adeguatamente equipaggiati. Ad esempio, con un team di risposta agli incidenti di sicurezza informatica (CSIRT) e un'autorità nazionale competente in materia di reti e sistemi informativi (NIS),
• cooperazione tra tutti gli Stati membri, istituendo un gruppo di cooperazione per sostenere e facilitare la cooperazione strategica e lo scambio di informazioni tra gli Stati membri.
• una cultura della sicurezza in tutti i settori che sono vitali per la nostra economia e società e che dipendono fortemente dalle TIC, come l'energia, i trasporti, l'acqua, le infrastrutture bancarie, dei mercati finanziari, l'assistenza sanitaria e le infrastrutture digitali.

Le imprese identificate dagli Stati membri come operatori di servizi essenziali in alcuni settori (come la filiera alimentare, produzione macchinari, servizi informativi, sanità, ecc…) dovranno adottare misure di sicurezza adeguate e notificare alle autorità nazionali competenti gli incidenti gravi. I principali fornitori di servizi digitali, quali i motori di ricerca, i servizi di cloud computing e i mercati online, dovranno rispettare gli obblighi di sicurezza e notifica previsti dalla direttiva.

Per quanto riguarda le misure di sicurezza specifiche (art. 21 par. 2) che i soggetti in perimetro dovranno adottare, queste includono, come minimo:

1. Politiche per l’analisi dei rischi e la sicurezza dei sistemi informatici.
2. Gestione efficace degli incidenti di sicurezza.
3. Garantire la continuità operativa dei servizi erogati.
4. Protezione della catena di approvvigionamento.
5. Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete.
6. Valutazione dell’efficacia delle misure di gestione dei rischi di cybersicurezza.
7. Implementazione di pratiche di igiene informatica di base, come l’uso di firewall.
8. Utilizzo di politiche e procedure per la crittografia.
9. Sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi.

Per ricevere ulteriori informazioni scrivere a: veneto@confcooperative.it