Blog WatchGuard

NIS 2: implementazione di una governance più rigorosa nell'ambito della sicurezza informatica

La nuova direttiva NIS 2 dell'UE alza il livello di sicurezza informatica, in particolare per i settori delle infrastrutture critiche. Tuttavia, non si limita a introdurre aggiornamenti in ambito tecnologico, ma sottolinea il forte coinvolgimento dei  leader aziendali nella creazione di un'organizzazione che sappia reagire alle minacce informatiche.

Cosa implica la direttiva NIS 2 per la tua attività?


1.    Maggiore attenzione rivolta al Risk Management

La direttiva NIS 2 richiede un approccio alla sicurezza informatica basato sulla gestione del rischio. Ciò significa che le aziende (classificate come "essenziali" o "importanti" dalla direttiva) hanno bisogno di un piano chiaro per identificare, valutare e affrontare le minacce informatiche.

2.    Governance più forte: l'importanza  della leadership

La direttiva NIS 2 riconosce un ruolo importante ai manager:

  • Approvazione da parte del management: la sicurezza informatica non può più essere una problematica di cui si occupa solo il team IT. Gli organi direttivi devono approvare e supervisionare le misure di risk-management per la sicurezza informatica.
  • Training della direzione: anche se non è necessario che siano esperti di sicurezza informatica,  i CEO devono comunque possedere le conoscenze di base in materia. La direttiva NIS 2 richiede il training dei manager, affinché questi ultimi possano comprendere i rischi informatici e il loro impatto sull'azienda.
  • Consapevolezza dei dipendenti: un livello elevato di protezione informatica richiede la partecipazione di tutto il personale. La direttiva NIS 2 incoraggia le aziende a formare regolarmente i dipendenti sulla sicurezza informatica.

3.    Responsabilizzazione del top management

In passato, l'onere della sicurezza informatica ricadeva esclusivamente sul team IT. Con l'introduzione della diretta NIS 2, la situazione cambia. Per sottolineare la responsabilità condivisa e ridurre la pressione sul reparto IT, la direttiva introduce misure che, in caso di prove di negligenza grave, ritengono il top management personalmente responsabile per le carenze di sicurezza informatica in gravi incidenti di sicurezza.

Gli Stati membri dell'UE possono ora ritenere responsabili i manager e chiedere alle aziende di intraprendere le seguenti azioni:

  • Divulgazione  pubblica delle violazioni: alle aziende potrebbe essere richiesto di annunciare pubblicamente la loro non conformità alla direttiva NIS 2.
  • Identificazione pubblica: le dichiarazioni pubbliche possono identificare i soggetti (persone fisiche e rappresentanti legali) responsabili della violazione.


Per i fornitori di infrastrutture critiche (entità "essenziali"), esistono sanzioni ancora più severe. In caso di ripetute violazioni dovute a negligenza grave, le autorità possono vietare temporaneamente ai soggetti di ricoprire posizioni dirigenziali.

I vantaggi di una governance forte


Questi requisiti non servono solo a punire le trasgressioni, ma mirano a raggiungere due obiettivi chiave:

  • Aumentare la responsabilità dei dirigenti: con il riconoscimento della responsabilità del top management, la direttiva NIS 2 incoraggia un approccio più proattivo alla gestione dei rischi per la sicurezza informatica.
  • Prevenire casi di negligenza grave: la minaccia di conseguenze personali scoraggia un approccio superficiale alla sicurezza informatica.
     

In sostanza, la direttiva NIS 2 cambia le regole in ambito di responsabilità della sicurezza informatica. Non è più una questione che interessa solo il team IT, ma è un problema del consiglio di amministrazione, con potenziali conseguenze per la dirigenza.


Come trarre vantaggio dai requisiti


Questi requisiti di governance sono un campanello d'allarme, ma la tua attività può trarne vantaggio:

  • Responsabilità chiare: l'idea della responsabilità della direzione garantisce che tutti siano coinvolti nella protezione dei propri sistemi.
  • Miglioramento del processo decisionale: grazie a una comprensione più profonda dei rischi informatici, la direzione può prendere decisioni informate sull'allocazione delle risorse e sugli investimenti in sicurezza.
  • Approccio proattivo: una gestione attenta dei rischi incoraggia un approccio proattivo alla sicurezza informatica ed evita che ci si limiti a reagire agli incidenti.


Azioni concrete


Soddisfare i requisiti di governance della direttiva NIS 2 richiede impegno. Ecco alcuni azioni da intraprendere:

  • Rivedi la tua struttura di leadership: garantisci una responsabilità chiara della sicurezza informatica all'interno del tuo gruppo dirigente
  • Sviluppa un programma di training: investi nel training della dirigenza e dei dipendenti per aumentare la consapevolezza e la comprensione delle minacce informatiche.
  • Integra la sicurezza informatica nel Risk Management: considera insieme i rischi informatici e altri rischi aziendali per creare un approccio olistico.

Rispettare la direttiva NIS 2 può sembrare impegnativo, ma la sua attenzione alla governance è un elemento positivo. Rafforzando la leadership e promuovendo una cultura della consapevolezza della sicurezza informatica, le aziende possono migliorare le proprie difese contro le minacce informatiche in continua evoluzione.

Questa è la seconda di una serie di blog in quattro parti su NIS 2. Clicca qui per leggere la prima parte, che presenta la direttiva NIS 2.