Seguici sui social
© 2018 Studio Ingegneria Noemi Milani s.r.l.
 

AGGIORNAMENTO DIRETTIVA G.D.P.R.ELEVATI I REQUISITI DI SICUREZZA DEL TRATTAMENTO DEI DATI

AGGIORNAMENTO DIRETTIVA G.D.P.R.ELEVATI I REQUISITI DI SICUREZZA DEL TRATTAMENTO DEI DATI

Direttiva UE 2022/2555 del 14/12/2022 (“Direttiva NIS 2”), pubblicata in GU L 333
del 27/12/2022 ed entrata in vigore il 17/01/2023.

Di seguito alcune indicazioni:
1. SOGGETTI INTERESSATI
– Operatori di settori critici: energia, trasporti, sanità, finanza, acque potabili e reflue, settore pubblico.
– Fornitori di servizi digitali: posta elettronica, motori di ricerca, cloud computing.
– Piattaforme online: marketplace, social media. 

2. ADEGUAMENTO
La scadenza per adeguarsi alla presente direttiva NIS 2 è il 18 ottobre 2024.
Le aziende interessate devono quindi tempestivamente implementare le misure di sicurezza necessarie e conformarsi alla nuova normativa.

3. COME PREPARARSI
Per prepararsi alla NIS 2, le aziende devono seguire alcuni semplici passi fondamentali:
– Valutare la propria situazione. È necessario identificare i settori in cui opera l’azienda, i dati sensibili che gestisce e i potenziali rischi a cui è soggetta.
– Valutare la catena di fornitura. È necessario tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.
– Effettuare una valutazione del rischio. Un’analisi approfondita delle minacce e delle vulnerabilità a cui l’azienda è esposta è fondamentale per definire le misure di sicurezza adeguate.
– Implementare le misure di sicurezza. È importante adottare le misure tecniche e organizzative necessarie per mitigare i rischi individuati, basandosi su standard e best practice del settore.
– Testare e monitorare. Le misure di sicurezza implementate devono essereregolarmente testate per verificarne l’efficacia e monitorate costantemente per adattarle all’evolversi delle minacce.Oltre a questi passi fondamentali, eccoalcuni suggerimenti extra per le aziende:
– Nominare un responsabile per la sicurezza informatica. Questa figura avrà la responsabilità di supervisionare l’implementazione e il mantenimento delle misure di sicurezza.
– Formare il personale sulla sicurezza informatica. Tutti i dipendentidovrebbero essere consapevoli delle minacce informatiche e sapere comeproteggere i dati e le infrastrutture aziendali.
– Utilizzare soluzioni di sicurezza affidabili. Investire in soluzioni di sicurezza informatica di ultima generazione per proteggere efficacemente le infrastrutture e i dati aziendali dalle minacce informatiche in continua evoluzione.
Alcuni esempi pratici:
– Sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS). Questi sistemi monitorano il traffico di rete e identificano attività sospette che potrebbero indicare un attacco in corso.
– Firewall di nuova generazione (NGFW). Offrono una protezione più avanzata rispetto ai firewall tradizionali, filtrando il traffico in base a criteri più granulari e proteggendo dalle minacce più recenti.
– Soluzioni di crittografia. Permette di proteggere i dati sensibili sia in fase di archiviazione che durante la trasmissione, rendendoli inaccessibili agli hacker.
– Soluzioni di gestione delle identità e degli accessi (IAM). Queste soluzionicontrollano chi può accedere alle risorse aziendali e cosa può fare, garantendo che solo gli utenti autorizzati abbiano accesso ai dati e ai sistemi.
– Soluzioni di backup e ripristino. In caso di attacco informatico, è fondamentale avere a disposizione backup completi e aggiornati dei datiaziendali per poterli ripristinare rapidamente. 

4. CONTROLLI E SANZIONI
La direttiva stabilisce che le sanzioni previste devono essere effettive, proporzionate e dissuasive.
Gli Stati membri comunicano alla Commissione, entro il 17 gennaio 2025, tali norme e misure e la informano, immediatamente, di qualsiasi modifica apportata successivamente.
L’entità della sanzione, quindi, viene stabilita sulla base di un importo minimo predefinito o di una percentuale di fatturato a seconda di quale dei due valori sia superiore in analogia con il GDPR.
 
In caso di inadempienza, le entità essenziali sono soggette a sanzioni “pari a un massimo di almeno 10.000.000 EUR o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo.”
Per i soggetti importanti le sanzioni sono più lievi: “un massimo di almeno 7 000 000 EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo.”
Inoltre, la non conformità di un’entità essenziale, nei casi più gravi, può comportare la sospensione o il divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali (come amministratore delegato o rappresentante legale) in tale soggetto di svolgere le suddette funzioni in quel soggetto.





Iscriviti alla newsletter

Start a Conversation

Hi! Click one of our member below to chat on Whatsapp

StudioNoemiMilani

StudioNoemiMilani

Titolo

offline