Direttiva NIS - NIS 2
Per uniformare a livello Europeo le modalità di gestione degli approcci alla Cybersecurity in settori critici e per aiutare gli operatori e i fornitori dei servizi digitali a meglio riconoscere e gestire i rischi e prevenire i data breach, il 6 luglio 2016 è stata emanata dal Parlamento Europeo la cosiddetta Direttiva NIS (Network and Information Security): una direttiva che contiene una serie di misure legislative con lo scopo di creare un livello comune, quanto più elevato possibile, di sicurezza delle reti e in generale dei sistemi informativi all’interno dell’Unione Europea.
Lo scopo della proposta e della strategia è quello di rafforzare il quadro della sicurezza cibernetica a livello europeo, per rinvigorire la resilienza e la sicurezza delle infrastrutture tecnologiche e combattere efficacemente i rischi causati dal cyber crime.
Dopo un periodo importante di non applicazione della Direttiva in Italia, per alcuni difetti di forma riscontrati (ad esempio: soggetti dei settori coinvolti non ben identificati), ora la Commissione Europea ha proposto l’abrogazione della Direttiva n. 2016/1148, proponendo la Direttiva NIS 2, al fine di modernizzare il quadro europeo sulla cybersecurity.
Il Governo Italiano, con DPCM del 15 giugno scorso, ha definito un allargamento per perimetro di sicurezza della sicurezza cybernetica nazionale, inserendo ulteriori soggetti pubblici e privati rispetto a quelli precedentemente definiti, che esercitano - attraverso reti, sistemi informativi e servizi informatici - 233 funzioni essenziali dello Stato (servizi essenziali per il mantenimento di attività civili, sociali o economiche strategiche).
Secondo l’ultimo DPCM, le organizzazioni che rientrano nel perimetro e quelle che rientreranno successivamente devono, a partire dal 26 giugno, ottemperare alle seguenti attività e obblighi dal 26 giugno:
- entro sei mesi, comunicare le reti, i sistemi informativi ed i servizi informatici critici che impiegano per l’erogazione delle funzioni e dei servizi essenziali dello Stato inclusi nel perimetro;
- notificare allo CSIRT italiano gli eventuali incidenti che si dovessero verificare; per permettere una adeguata organizzazione ai soggetti inclusi nel perimetro per ottemperare alle procedure di notifica di incidenti, queste ultime procederanno in via sperimentale fino al 31 dicembre 2021;
- Implementare i framework di cyber security suggeriti dal DPCM (Framework Nazionale per la Cybersecurity e la Data Protection; ENISA; COBIT).
Bureau Veritas può supportare le aziende e le società coinvolte dall’applicazione della Direttiva con i seguenti servizi:
1. Certificazione ISO 27001:2013, Sistema di Gestione della Sicurezza delle Informazioni (il DPCM non impone nè vieta la certificazione, semplicemente ha scelto una strada più “soft”); Certificazione ISO 22301, Continuità Operativa;
2. Gap Analysis e certificazione in accordo ai principali Framework nazionali di Cybersecurity;
3. Assessment personalizzati, utili a gestire la Cybersecurity a livello di Supply Chain, su tematiche cyber – ISO 62443;
4. Training specifico su tematiche correlate alla Direttiva NIS.