Assessment: il primo passo verso la compliance con la NIS2

NIS2: la strategia europea per la Cybersicurezza degli Stati membri

La sicurezza informatica è una responsabilità condivisa per aziende e organizzazioni che operano nei settori strategici dell’Unione Europea. Con l’entrata in vigore della Direttiva NIS2, recepita in Italia dal D.lgs. 134/2024, viene infatti ridefinito il quadro normativo volto a garantire uno standard elevato e uniforme di protezione delle reti e dei sistemi informativi, in quei settori ritenuti “critici” e su cui devono essere dunque innalzate le difese cyber.

La NIS2 introduce così requisiti molto più stringenti rispetto alla sua precedente versione, non solo ampliando il numero di settori coinvolti, ma anche rafforzando le misure di resilienza e sicurezza informatica. Con obiettivi chiave quali la gestione del rischio, la prevenzione degli incidenti e la sicurezza della supply chain (ne abbiamo parlato in un recente articolo: https://www.newcomm.it/cyber-security/nis2-supply-chain/), la NIS2 definisce standard rigorosi per costruire un ecosistema digitale resiliente e sicuro.

Per poter affrontare queste nuove sfide, le organizzazioni coinvolte direttamente e i loro fornitori devono adottare misure tecniche e organizzative appropriate per la gestione del rischio informatico. La NIS2 stabilisce che queste misure devono essere proporzionate ai rischi specifici che ogni entità affronta, indicando una struttura chiara di ciò che i soggetti critici devono implementare per essere compliant con la direttiva:

1. Valutazione del rischio
2. Piano di gestione degli incidenti
3. Notifica degli incidenti
4. Misure di sicurezza tecniche
5. Formazione del personale

Audit iniziale: il primo passo per la conformità alla NIS2

Prima di procedere con le attività previste dalla NIS2 e con il vero e proprio di risk assessment, è importate stabilire la situazione di partenza dell’impresa attraverso un audit iniziale, che permetterà di capire se esistono già procedure in atto e se queste sono conformi con quanto previsto dalla direttiva europea. Inoltre, occorre valutare i sistemi di cyber sicurezza esistenti e se questi sono in linea con gli standard previsti, potendo così definire cosa è necessario implementare.

L’attività di Assessment iniziale deve dunque essere studiata caso per caso, in modo da identificare le lacune dell’organizzazione rispetto ai requisiti della NIS2, combinando un approccio tecnico e giuridico, che si può articolare in diverse fasi fondamentali:

1. Panoramica della normativa NIS2 e valutazione se l’azienda rientri tra quelle obbligate: una valutazione iniziale per la verifica che l’azienda rientri tra i soggetti obbligati dalla normativa NIS2, chiarendo l’ambito di applicazione.
2. Iscrizione dell’organizzazione al portale dell’ACN.
3. Valutazione di conformità ai requisiti normativi in merito a:

• Analisi delle procedure adottate per la gestione del rischio, verifica della loro conformità ai requisiti della NIS 2.
• Verifica delle eventuali misure di sicurezza adottate per proteggere le reti e i sistemi informativi, comprese le misure di prevenzione, rilevamento e risposta agli incidenti.
• Verifica delle eventuali procedure di risposta agli incidenti, inclusa la capacità di rilevamento, analisi, contenimento, eliminazione e recupero.

4. Identificazione delle lacune attraverso:

• Gap Analysis, ossia il confronto tra le pratiche attuali e i requisiti della NIS 2, per identificare le aree di non conformità.
• Valutazione degli impatti per l’identificazione delle aree a maggiore rischio e delle vulnerabilità critiche.

5. Presentazione raccomandazioni:

• Piano di Azione con la proposta di misure da adottare per colmare le lacune identificate, con l’indicazione delle relative priorità.

Il nostro approccio personalizzato, studiato per ogni organizzazione

In uno scenario tecnico-normativo così complesso, abbiamo deciso di offrire ai nostri clienti un approccio alla Compliance rispetto ai requisiti della NIS2, che parte proprio Attività di Audit che prevede:

1. Pianificazione dell’Audit:
   – incontro preliminare: confronto iniziale per definire l’ambito, gli obiettivi e le tempistiche dell’audit. Identificazione dei responsabili interni e dei punti di contatto;
2. Valutazione e Analisi:
   – raccolta delle informazioni preliminari: richiesta e analisi dei documenti iniziali (se esistenti);
   – interviste con i responsabili del Cliente;
   – valutazione della documentazione: esame delle politiche, procedure ed eventuali piani di continuità operativa;
   – verifica della situazione tecnica dell’infrastruttura informatica.
3. Report di Audit:
   – rapporto dettagliato: redazione di un rapporto completo che descrive i risultati dell’audit, con un’analisi dettagliata delle non conformità riscontrate e delle aree di rischio sia da un punto di vista delle procedure che dell’infrastruttura IT;
   – piano di azione per la correzione delle non conformità e proposte volte a traguardare il Cliente verso la compliance alla NIS 2;
   – sessione di presentazione: incontro per presentare e discutere il rapporto finale.

Conclusioni

Grazie all’esperienza consolidata in 25 anni di attività in ambito ICT, con particolare focus in ambito sicurezza informatica e grazie alla collaborazione con un partner specializzato in ambito giuridico, siamo in grado di offrire un approccio completo alla conformità alla NIS2, basato sulle best practice internazionali (ISO 27001) e con un’attenzione particolare alla privacy (GDPR).

Il nostro obiettivo non è solo garantire la compliance alla normativa, ma anche rafforzare la resilienza e la sicurezza complessiva dell’organizzazione. Essere conformi alla NIS2 è infatti un investimento per assicurare resilienza e continuità operativa della tua organizzazione.