14 Ottobre 2024 AGGIORNAMENTO DIRETTIVA G.D.P.R.ELEVATI I REQUISITI DI SICUREZZA DEL TRATTAMENTO DEI DATI
Direttiva UE 2022/2555 del 14/12/2022 (“Direttiva NIS 2”), pubblicata in GU L 333
del 27/12/2022 ed entrata in vigore il 17/01/2023.
Di seguito alcune indicazioni: 1. SOGGETTI INTERESSATI – Operatori di settori critici: energia, trasporti, sanità, finanza, acque potabili e reflue, settore pubblico. – Fornitori di servizi digitali: posta elettronica, motori di ricerca, cloud computing. – Piattaforme online: marketplace, social media. 2. ADEGUAMENTO La scadenza per adeguarsi alla presente direttiva NIS 2 è il 18 ottobre 2024. Le aziende interessate devono quindi tempestivamente implementare le misure di sicurezza necessarie e conformarsi alla nuova normativa. 3. COME PREPARARSI Per prepararsi alla NIS 2, le aziende devono seguire alcuni semplici passi fondamentali: – Valutare la propria situazione. È necessario identificare i settori in cui opera l’azienda, i dati sensibili che gestisce e i potenziali rischi a cui è soggetta. – Valutare la catena di fornitura. È necessario tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. – Effettuare una valutazione del rischio. Un’analisi approfondita delle minacce e delle vulnerabilità a cui l’azienda è esposta è fondamentale per definire le misure di sicurezza adeguate. – Implementare le misure di sicurezza. È importante adottare le misure tecniche e organizzative necessarie per mitigare i rischi individuati, basandosi su standard e best practice del settore. – Testare e monitorare. Le misure di sicurezza implementate devono essereregolarmente testate per verificarne l’efficacia e monitorate costantemente per adattarle all’evolversi delle minacce.Oltre a questi passi fondamentali, eccoalcuni suggerimenti extra per le aziende: – Nominare un responsabile per la sicurezza informatica. Questa figura avrà la responsabilità di supervisionare l’implementazione e il mantenimento delle misure di sicurezza. – Formare il personale sulla sicurezza informatica. Tutti i dipendentidovrebbero essere consapevoli delle minacce informatiche e sapere comeproteggere i dati e le infrastrutture aziendali. – Utilizzare soluzioni di sicurezza affidabili. Investire in soluzioni di sicurezza informatica di ultima generazione per proteggere efficacemente le infrastrutture e i dati aziendali dalle minacce informatiche in continua evoluzione. Alcuni esempi pratici: – Sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS). Questi sistemi monitorano il traffico di rete e identificano attività sospette che potrebbero indicare un attacco in corso. – Firewall di nuova generazione (NGFW). Offrono una protezione più avanzata rispetto ai firewall tradizionali, filtrando il traffico in base a criteri più granulari e proteggendo dalle minacce più recenti. – Soluzioni di crittografia. Permette di proteggere i dati sensibili sia in fase di archiviazione che durante la trasmissione, rendendoli inaccessibili agli hacker. – Soluzioni di gestione delle identità e degli accessi (IAM). Queste soluzionicontrollano chi può accedere alle risorse aziendali e cosa può fare, garantendo che solo gli utenti autorizzati abbiano accesso ai dati e ai sistemi. – Soluzioni di backup e ripristino. In caso di attacco informatico, è fondamentale avere a disposizione backup completi e aggiornati dei datiaziendali per poterli ripristinare rapidamente. 4. CONTROLLI E SANZIONI La direttiva stabilisce che le sanzioni previste devono essere effettive, proporzionate e dissuasive. Gli Stati membri comunicano alla Commissione, entro il 17 gennaio 2025, tali norme e misure e la informano, immediatamente, di qualsiasi modifica apportata successivamente. L’entità della sanzione, quindi, viene stabilita sulla base di un importo minimo predefinito o di una percentuale di fatturato a seconda di quale dei due valori sia superiore in analogia con il GDPR. In caso di inadempienza, le entità essenziali sono soggette a sanzioni “pari a un massimo di almeno 10.000.000 EUR o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo.” Per i soggetti importanti le sanzioni sono più lievi: “un massimo di almeno 7 000 000 EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo.” Inoltre, la non conformità di un’entità essenziale, nei casi più gravi, può comportare la sospensione o il divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali (come amministratore delegato o rappresentante legale) in tale soggetto di svolgere le suddette funzioni in quel soggetto. |