Manca poco più di un anno all’entrata in vigore della nuova legislazione europea sulla cybersecurity. La direttiva NIS 2 pubblicata in Gazzetta Ufficiale il 27 dicembre dello scorso anno pone l’accento su due obiettivi importanti: l’aumento del livello di resilienza informatica degli attori, sia pubblici sia privati, coinvolti nel proprio ambito applicativo e un miglioramento del livello complessivo di consapevolezza delle attuali minacce informatiche per essere preparati sia alla prevenzione sia alla gestione della risposta.
Una delle novità su cui bisogna prestare maggiore attenzione è l’approccio di rischio come obbligo in capo alle imprese interessate che devono implementare un adeguato
processo di valutazione del rischio al fine di poter gestire gli eventi dannosi.
Nell’ottica di raggiungere la piena definizione della strategia per la cybersecurity dell’Unione Europea e tenendo conto delle esistenti differenze tra le strutture di governance nazionali, la Direttiva NIS 2 precisa che ogni Stato membro adotta una strategia nazionale per la cybersicurezza che prevede gli obiettivi strategici e le risorse necessarie per conseguirli, nonché adeguate misure strategiche e normative al fine di raggiungere e mantenere un livello elevato di cybersicurezza.
Secondo la direttiva le misure tecniche, operative e organizzative devono comprendere almeno quanto segue:
- policy sull’analisi dei rischi e sulla sicurezza dei sistemi informativi;
- sistemi di gestione degli incidenti;
- sistemi di business continuity, come la gestione dei backup e il disaster recovery, e la gestione delle crisi;
- misure di gestione della sicurezza della supply chain;
- la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità;
- policy e procedure per valutare l’efficacia delle misure di gestione del rischio di cybersecurity;
- pratiche di igiene informatica di base (i.e., regole fondamentali per garantire la cybersecurity) e formazione in materia di sicurezza informatica;
- policy e procedure relative all’uso della crittografia e, se del caso, della cifratura crittografia;
- misure sulla sicurezza delle risorse umane, le politiche di controllo degli accessi e la gestione degli asset;
l’uso di soluzioni di autenticazione a più fattori (i.e., la c.d. multi-factor authentication) o di autenticazione continua, di comunicazioni vocali, video e di testo protette e di sistemi di comunicazione di emergenza protetti all’interno dell’entità, ove opportuno.
I piú letti
-
Doppia SIM su IPHONE: come funziona?
-
Tutti gli attacchi informatici portano all’esfiltrazione di dati
-
Guida alla crittografia dei dati nel cloud
-
System Administrator Salary : Quanto si può guadagnare ?
-
VMware, Broadcom e la nuova dimensione del mercato della virtualizzazione. Tutto quello che serve sapere
