NIS2 è qui! Ecco il nostro reminder di una guida in 6 fasi. Ottobre è il mese in cui le aziende dovranno essere conformi.
Keypass s.r.l.
Il tuo partner informatico, integriamo sistemi, garantiamo la continuità: il futuro del tuo business senza interruzioni
Nel mese di luglio abbiamo proposto una guida in 6 fasi per raggiungere la conformità prima della deadline di ottobre.
Ritorniamo su questo importante argomento con un reminder.
Ricordiamo che esistono dei settori di aziende per i quali la NIS2 è obbligatoria entro il 17 ottobre, ne parliamo in un nostro precedente articolo.
Ma, occorre prestare la massima attenzione, perchè l’impatto riguarderà anche le aziende i cui settori non sono in elenco, che però hanno rapporti con quelle, poiché da loro verranno richiesti requisiti di sicurezza sulla gestione dei rischi, per la sicurezza delle supply chain e sulla resilienza operativa.
Il management aziendale diventa personalmente responsabile
Con la nuova direttiva, la sicurezza informatica diventa una priorità per il management aziendale. In base alla Nis2, la leadership aziendale è maggiormente responsabilizzata e può essere ritenuta personalmente responsabile se le linee guida vengono ignorate o se l’azienda non è conforme”.
Un’azienda leader internazionale per la sicurezza informatica, tramite il proprio CISO (Chief Information Security Officer) ha suggerito un vademecum in 6 Fasi per raggiungere la conformità entro la deadline, per le aziende interessate.
Le 6 Fasi per adeguarsi
1) Le aziende devono registrarsi
In primo luogo, le aziende devono valutare se sono coinvolte dal nuovo campo di applicazione prima di agire di conseguenza. L’Ue stima che più di 160.000 aziende e 15 settori dovranno conformarsi alla Nis2, in quanto rientrano nell’ampliamento delle categorie per cui è richiesta.
“In base alla direttiva europea, ogni azienda che rientra nell’ambito di applicazione della Nis2 deve registrarsi in modo proattivo su un portale fornito dall’autorità specifica del Paese. Il processo di registrazione sarà leggermente diverso in ogni Paese e purtroppo, al momento, questo portale di registrazione non è ancora attivo nella maggior parte dei Paesi dell’Ue. Tuttavia, le aziende dovrebbero già familiarizzare con la direttiva Ue E che sarà il modello per tutte le normative locali.
Una volta che le aziende hanno valutato la necessità di conformarsi e la registrazione è avvenuta, è necessario predisporre un piano per l’attuazione della direttiva.
2) Organizzare il processo per raggiungere la conformità
Se un’azienda non utilizza ancora certificazioni o quadri normativi nell’area della sicurezza informatica, Nis2 è un buon punto di partenza. Se esistono altri quadri di riferimento per la sicurezza informatica, lo sforzo aggiuntivo verso il Nis2 dovrebbe essere limitato, poiché molti dei requisiti sono già noti nei quadri comuni di riferimento. La mappatura di questi quadri è un buon punto di partenza per organizzare il processo di conformità. Tali mappature sono ora disponibili pubblicamente o possono essere ottenute dai fornitori di servizi.
3) Creare un Team NIS2
Prima di creare qualsiasi squadra interna, è necessario assegnare un capo progetto che possa guidare l’audit e suddividere i documenti riguardanti la direttiva Nis2 per garantire le migliori pratiche in tutti gli uffici e i fornitori terzi.
Nel caso un’azienda non abbia le dimensioni e la struttura per poter creare un team, è comunque indispensabile nominare un responsabile del progetto, che risponda al management, il quale ricordiamo risponde personalmente.
Consigliati da LinkedIn
Il responsabile del progetto deve coinvolgere esperti in materia, per le aziende più piccole che non dispongono di team o del budget necessario per crearne uno, l’approccio migliore sarebbe quello di creare una task force congiunta, interna / esterna, che raccolga il giusto livello di conoscenze su cosa cercare durante l’audit”.
4) Revisione della gestione dell’inventario per confermare il profilo di rischio
Uno dei maggiori sforzi per qualsiasi audit di conformità deriva dal fatto che i team non hanno una visione completa delle tecnologie e delle risorse all’interno dell’ambiente aziendale, a causa delle lacune nella gestione dell’inventario. Comprendere i punti ciechi nella configurazione di un’infrastruttura di sicurezza sarà una priorità per i responsabili del progetto prima di iniziare ad affrontare i problemi di conformità: per questo motivo l’esame delle risorse disponibili è un prerequisito del processo.
Il team del progetto Nis2 deve allineare e conoscere l’intero set di tecnologie per determinare il profilo di rischio completo per l’azienda.
Il nostro consiglio è di utilizzare un sistema centrale di gestione degli asset in tutte le divisioni aziendali e tecnologiche”.
Sul mercato sono disponibili diverse soluzioni per accelerare il processo attraverso la scansione intelligente e il miglioramento dei dati basato sull’intelligenza artificiale. Ricordiamo che i nuovi stack tecnologici acquisiti dovranno essere aggiunti al processo di auditing e conformità”.
5) Risparmiare tempo trasferendo i risultati di audit esistenti alla Nis2
Molte aziende devono già allineare parti della loro attività ad altre norme e direttive per essere conformi. Quei risultati possono essere riutilizzati e dovrebbero essere applicati alle rispettive aree Nis2. Nel migliore dei casi, potrebbero già direttamente corrispondere ai requisiti richiesti dalla direttiva Nis2 anche a livello locale.
Se le aziende individuano un divario significativo tra i quadri normativi, il team di progetto dovrà pianificare il percorso più efficace e rapido per raggiungere la conformità nei pochi mesi rimanenti a disposizione. Potrebbe essere utile collaborare con partner competenti per capire quale tecnologia deve essere sviluppata e come i requisiti possono essere soddisfatti, interferendo il meno possibile con l’attività quotidiana e con la minima complessità.
6) Eliminare la complessità dell’infrastruttura
La maggior parte dei gruppi della sicurezza si troverà in difficoltà con la conformità alla direttiva Nis2. Molte aziende si rivolgono alle principali piattaforme di sicurezza basate sul cloud per semplificare la complessità della loro tecnologia, creando un punto di connessione comune per tutti gli uffici e instillando un livello base di igiene della sicurezza che facilita le verifiche.
Una best practice comprovata è la combinazione delle tre-cinque grandi piattaforme più rilevanti a favore di un ecosistema IT complessivo, che copra l’intera difesa della sicurezza informatica: rilevamento, risposta, deception e gestione degli incidenti per i dispositivi sul posto di lavoro, i workload on premise e in cloud. Per ridurre la complessità, è particolarmente importante che tali piattaforme si integrino l’una con l’altra senza problemi, utilizzando Api predefinite”.
Le informazioni contenute in questo articolo sono state riportate dalla testata online Network Digital 360
Siamo a tua disposizione per chiederci una consulenza preventiva gratuita per comprendere al meglio il tuo contesto e le tue necessità.
Renderti sicuro, per te, i tuoi dati, il tuo business, è il nostro valore
Contattaci. Scrivi ora qui su Linkedin un messaggio nella nostra pagina