Prepararsi per la NIS2: Una Prospettiva Pratica
Con l’entrata in vigore della direttiva NIS2, le imprese di ogni settore devono affrontare nuove sfide in materia di sicurezza informatica. Questo fino ad ora si è tradotto in 2 filoni non proprio esaltanti: il filone giuridico (necessario ma un po’ sterile in termini di praticità) e il filone markettaro ( c’è la NIS2, è ora di comprare qualche scatola ! )
Ma cosa significa davvero essere conformi alla NIS2 ? e come ci si prepara in modo efficace?
La NIS2 richiede alle aziende di adottare misure concrete per proteggere le proprie infrastrutture digitali e garantire la sicurezza dei dati sensibili. Tuttavia, comprendere appieno gli obblighi e le implicazioni della normativa può essere un compito complesso, sembra anzi, che nessuno sappia che cosa si deve fare.
In questo vuoto, proviamo a mettere un po’ di concretezza BeSafe
In pratica
Una delle prime considerazioni riguarda la necessità di avere un asset management solido. Questo significa non solo identificare e classificare gli asset digitali, ma anche comprendere appieno il contesto in cui vengono utilizzati e il loro valore per l’azienda. Il punto è: come faccio a proteggere qualcosa che non so nemmeno di avere ? Dobbiamo quindi avere contezza del nostro ambiente operativo. Un inventario (anche gli utenti sono asset, mi raccomando ) solido e aggiornato è un punto doveroso di partenza.
Ovviamente, identificati gli asset, questi dovrebbero essere protetti in qualche modo. Divertitevi con gli acronimi, SOC,EDR,MDR,XDR chi più ne ha.. il punto è: ho fatto qualcosa per mettere in sicurezza gli oggetti che ho mappato ?
Un’altra area critica è la pianificazione della risposta agli incidenti. È essenziale avere un piano dettagliato che definisca chi è responsabile di cosa in caso di violazione della sicurezza, come avviene la comunicazione interna ed esterna e quali azioni devono essere intraprese per mitigare i danni. Come un piano dell’antincendio, è opportuno sapere come ci si deve comportare, anzichè limitarsi a scappare urlando in tutte le direzioni (scenografico indubbiamente, ma poco utile in senso pratico). A proposito, avrete sicuramente letto il nostro articolo
Altro punto fondamentale della conformità alla NIS2 è il trattamento che si fa dei dati (non solo i miei, ma eventualmente anche quelli dei miei clienti e dei miei fornitori). Le aziende devono garantire che i dati personali siano protetti in conformità alle leggi sulla privacy e che siano adottate misure adeguate per prevenire violazioni e perdite di dati (se devo cifrare, devo cifrare).
Anche la formazione dei dipendenti vuole un posto al tavolo della NIS2. Gli utenti finali sono spesso il punto debole nella catena di sicurezza, quindi è importante sensibilizzarli sui rischi della sicurezza informatica e fornire loro le conoscenze e le competenze necessarie per proteggere i dati dell’azienda, welcome security awareness.
Ma forse uno degli aspetti più impegnativi della conformità alla NIS2 è l’obbligo di notificare gli attacchi entro 24 ore. Questo significa che le aziende devono avere una visibilità totale sulle operazioni di sicurezza e essere in grado di rilevare e rispondere prontamente alle minacce.
In tutto questo, facciamo poi delle review periodiche ? Misuriamo l’efficacia delle politiche e delle procedure che abbiamo messo in atto ?
Output
Affrontare la NIS2 quindi non è solo un esercizio burocratico, né una caccia a comprare l’ennesima scatola per essere ottemperanti. Teoricamente potrebbe essere un’opportunità (l’ennesima) per migliorare la sicurezza e la resilienza digitale dell’azienda. A meno di 200 giorni dall’entrata in vigore, quello che si intuisce è che la NIS2 sta diventando indubbiamente un enorme volano per il mercato e quindi, di riflesso, un ottimo momento per convincere i decision-maker che è ora di investire in tecnologie avanzate di sicurezza informatica (se già non le avete), rafforzare le politiche e le procedure esistenti (queste probabilmente non le avete) e sviluppare una cultura della sicurezza che coinvolga tutti i dipendenti (questa è una cosa che bisogna continuare a fare).
Dubbi ? Perchè non contattarci per un chiacchierata a riguardo ?