La NIS2 - Network and Information Systems 2 (la cui denominazione ufficiale è Direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l’Unione) è una direttiva europea che punta a rafforzare la sicurezza informatica nell’UE. Entrata in vigore il 17 gennaio 2023, la direttiva dovrà essere recepita dai singoli Stati membri entro il 17 ottobre 2024. Il provvedimento contiene misure pensate per aumentare il livello di sicurezza delle reti e dei sistemi informativi dei Paesi membri dell’Unione Europea.

L’obiettivo della Direttiva NIS 2, chiaramente basata su un approccio multirischio, è quello di imporre ai soggetti “essenziali” e “importanti” l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei loro sistemi informatici e delle reti utilizzati nelle loro attività o per la fornitura dei loro servizi, in modo da prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

Le misure di gestione del rischio cyber che vengono chiaramente elencate dall’articolo 21, punto 2, comprendono:

• politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
• gestione degli incidenti;
• continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
• sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
• sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
• strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cyber sicurezza;
• pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
• politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
• sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
• uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

La Apogeo -con Professionisti esperti in Compliance- valuterà insieme alle Funzioni IT e Compliance del cliente tutti i requisiti tecnico/procedurali previsti e verificherà con la IT ed i consulenti Cyber Security del Cliente l’adeguatezza e la rispondenza di essi nel sistema informatico attuale.

Qualora il Cliente avesse necessità di introdurre altresì una Società esterna per la consulenza Cyber Security, Apogeo ha selezionato dei Partners affidabili e fidelizzati sul territorio nazionale da proporre ai Clienti per adempiere alla Normativa NIS2.