NIS2 COSA FARE

Piacevolmente sorpreso dal riscontro ricevuto dal mio precedente articolo sulla normativa NIS2, a gentile richiesta indico di seguito, molto molto sinteticamente, gli adempimenti cui i soggetti interessati e quelli ed essi collegati sono tenuti. Rammento che si intendono come "collegati" gli enti che fanno parte della supply chain dei soggetti interessati, che dovranno adeguarsi alla norma se vorranno continuare a lavorare con e per loro.

Partiamo dall'inizio, cioè dalla scopo che la norma si prefigge, che é quello di migliorare la sicurezza informatica entro il perimetro della UE. Per cui i soggetti pubblici e privati che rientrano nell’ambito di applicazione della normativa devono adottare (auspicabilmente prima che la norma entri in vigore) una serie di misure necessarie per adeguarsi alla Direttiva , ma sopratutto utili a contenere il rischio di attacchi informatici e migliorare la capacità delle proprie infrastrutture informatiche ad assorbire e respingerli.

Sommariamente le misure da adottare sono:

1. La valutazione dei rischi di sicurezza informatica
2. A seguito della valutazione , identificare di misure di sicurezza adeguate alla propria realtà utili a minimizzare i rischi che sono stati identificati
3. La gestione degli incidenti di sicurezza se e quando avvengono
4. La notifica degli incidenti di sicurezza alle autorità competenti (che variano da nazione a nazione e che devono essere correttamente identificati

Cosa devono fare

• Designare un responsabile della sicurezza informatica
• Sviluppare una politica di sicurezza informatica
• Implementare misure di sicurezza tecniche e organizzative adeguate alla loro realtà ( parliamo , come nel GDPR, di compliance by design e non by default)
• Formare il personale sulla sicurezza informatica
• Svolgere regolarmente test di sicurezza

Come ho avuto modo di scrivere precedentemente, sarebbe opportuno che i soggetti tenuti al rispetto della norma non si limitassero ad un adeguamento di tipo formale, generando montagne di documenti inutili prodotti da un programma o da personale che ha seguito un corso e si definisce per questo esperto della materia (purché costi poco, magari non più di 1000 Euro l'anno iva inclusa e non intervenga realmente as usual....) un po' come già accaduto per l'adeguamento al GDPR, ma perché l’adeguamento alla Direttiva NIS2 é un'opportunità per conseguire una serie di vantaggi strategici. I primi che mi vengono in mente sono:

• La riduzione del rischio di attacchi informatici e quindi una maggiore tranquillità nella gestione e pianificazione dei processi produttivi
• Il miglioramento della resilienza dei sistemi e delle reti (vedi sopra)
• La conformità alla normativa e quindi niente grane né sanzioni in caso di controllo o di incidente
• Vantaggi rispetto ai propri competitors, risparmi notevoli sui costi assicurativi e esigibilità dei risarcimenti dei danni derivanti da un incidente informatico
• La fiducia dei clienti e degli investitori
• Fornire elementi utili agli organi di controllo nella validazione dei bilanci e delle operazioni aziendali.

Gli ultimi due punti sono immediatamente intuitivi, l'ultimo un po' meno. Avere una struttura sicura e farlo sapere con le dovute modalità, consentirà di aumentare di conseguire un vantaggio strategico rispetto alla concorrenza che non lo farà; i clienti ed investitori saranno più sicuri e confidenti a fare businness con un ente NIS2 compliant rispetto ai concorrenti.

E' evidente che queste poche righe non sono sufficienti ad esaurire un argomento cosi' complesso, per cui chi ha domande puo' contattarmi in privato all'indirizzo info@studiomantovani.it