La direttiva euro NIS2 si integra con varie normative e linee guida europee sulla protezione dei dati e sulla privacy, come il regolamento generale sulla protezione dei dati UE 2016/679 (GDPR), il regolamento dora, la direttiva CER, il Cyber Resilience Act e, a livello nazionale, il perimetro di sicurezza nazionale cibernetica.
Quali sono le misure richieste per raggiungere la conformità alla NIS 2
- Politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità.
- Gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche.
- Continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi.
- Sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.
- Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità.
- Politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica.
- Pratiche di igiene di base e di formazione in materia di sicurezza informatica.
- Politiche e procedure relative all’uso della crittografia e, ove opportuno, della cifratura.
- Sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti.
- Uso di soluzioni di autenticazione a più fattori, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.
- Vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi.
- I soggetti essenziali e i soggetti importanti notificano, senza ingiustificato ritardo, al CSIRT Italia ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi (1à notifica entro 24 ore)
