NIS2

NIS2: Argina le limitazioni della Direttiva sulla sicurezza delle reti e dell’informazione (NIS)

Nel 2016, la Commissione europea ha adottato la Direttiva UE sulla sicurezza delle reti e dell’informazione (NIS). La Direttiva NIS è stato il primo atto legislativo a livello europeo sulla sicurezza informatica, emanato per raggiungere un livello più elevato di cybersecurity in tutta l’Unione.

Nel mese di maggio 2022, in risposta alle crescenti minacce poste dalla digitalizzazione e dall’aumento degli attacchi informatici, la Commissione ha annunciato la sostituzione della Direttiva NIS rafforzando i requisiti di sicurezza tramite l’introduzione di misure di vigilanza più vigorose e requisiti di applicazione più severi, comprese sanzioni armonizzate in tutta l’UE.

La Direttiva NIS2 mira a promuovere i seguenti aspetti:

1. Scalabilità

A causa della crescente interconnessione, della repentina digitalizzazione e della connettività universale, sempre più società si ritrovano esposte ad attacchi informatici. Con l’arricchimento del campo di applicazione dei “servizi essenziali” (che ora includeranno soggetti attivi nel settore bancario, dei trasporti, pubblica amministrazione ed enti che operano in servizi quali la produzione di alimenti, i servizi postali e la gestione dei rifiuti), sarà necessario adottare misure di resilienza informatica molto più ampie in tutto il continente.

2. Governance

Un altro passo importante è il rafforzamento della governance della sicurezza e la responsabilizzazione del personale dirigente di un’azienda per quanto riguarda la resilienza informatica. La sicurezza informatica deve essere una priorità del consiglio di amministrazione e del vertice aziendale, e non può essere delegato ai team tecnici. La Direttiva estenderà le responsabilità dei CISO (Chief Information Security Officer), ma con l’aspettativa che siano in grado di comunicare in maniera efficace con i vertici in qualità di responsabili tecnici e aziendali.

3. Multe e sanzioni

La NIS 2 stabilisce un aumento dei poteri conferiti alle autorità competenti. Queste ultime potranno imporre sanzioni pari a un importo fisso o al 2% del fatturato mondiale per le entità essenziali. Si tratta di un incentivo significativo per garantire che le imprese rispettino i propri obblighi. Queste nuove sanzioni saranno una leva importante per la resilienza in UE e non solo.

4. Obblighi di segnalazione degli incidenti

Sono state colmate lacune e apportate revisioni in merito agli obblighi di segnalazione degli incidenti. Ad esempio, un “incidente di impatto significativo” non sarà più definito secondo un parametro definito (numero di utenti colpiti), ma si vedrà piuttosto se ha causato una grave perturbazione dei servizi oppure perdite finanziarie o materiali. Inoltre, il termine di notifica è stato ridotto dalle 72 alle 24 ore, e a essere aggiornati saranno gli utenti del servizio e, potenzialmente, il pubblico.

Miglioramento della sicurezza informatica in tutta l’Unione europea

Attingendo a decenni di esperienza nell’aiutare entità aziendali e imprese pubbliche a rispettare gli obblighi di compliance, Thales offre prodotti e servizi integrati che consentono alla tua azienda di rafforzare le proprie capacità di cybersecurity, potenziare la sicurezza della catena di logistica, semplificare gli obblighi di reportistica e rispettare misure di vigilanza più vigorose e requisiti di applicazione più severi, comprese le sanzioni armonizzate in tutta l’UE. Inoltre, Thales lavora a stretto contatto con una serie di partner per offrire soluzioni complete che possono ridurre la portata degli obblighi di conformità.

Protezione dalle minacce informatiche in ogni fase del processo.

Thales offre soluzioni complete di protezione dei dati che aiutano le aziende ad agire in conformità e assumere un ruolo di responsabilità nei confronti della Direttiva NIS 2.

• Proteggi le transazioni e i dati personali a riposo: CipherTrust Manager di Thales, gli HSM (Hardware Security Module) Luna e il marketplace DPoD (Data Protection on Demand) di Thales permettono alle aziende di gestire in maniera centralizzata le chiavi crittografiche e forniscono una serie di soluzioni di crittografia, tokenizzazione e mascheramento dei dati per proteggere le transazioni e i dati personali in file, cartelle, applicazioni e database in ambienti on-premises, cloud e ibridi.
• Crittografia di dati in movimento finanziari e personali: Gli HSE (High Speed Encryptor) di Thales crittografano tutti i dati che attraversano le reti.
• Sviluppo e gestione di sistemi e applicazioni sicuri: gli HSM Luna di Thales, disponibili on-premises e nel cloud come HSM Cloud Luna su DPoD, permettono alle organizzazioni di archiviare in sicurezza le chiavi crittografiche in un dispositivo hardware affidabile, garantendo così l’autenticità e l’integrità di qualunque file di codice delle applicazioni.
• Implementazione di forti misure di controllo degli accessi: i prodotti CipherTrust di Thales possono essere configurati per permettere un accesso amministrativo unico e multifattoriale ai sistemi aziendali on-premises e nel cloud. Inoltre, SafeNet Trusted Access ti consente di gestire in maniera centralizzata identità utente univoche e criteri di autenticazione basati sul rischio, nonché aggiungere e revocare l’accesso ai sistemi negli ambienti IT ibridi.
• Registrazione e monitoraggio di tutti gli accessi ai dati sensibili: tutti i prodotti nel portfolio di protezione dei dati CipherTrust di Thales producono record di audit che registrano qualunque operazione del ciclo di vita delle chiavi di crittografia (creazione / eliminazione / rotazione / revoca) e altre funzioni amministrative che possono essere utilizzate per ricostruire gli eventi.