HomeProcess AutomationSafety e CybersecurityDora e Nis 2, come adempiere alle linee guida delle nuove Direttive...

Dora e Nis 2, come adempiere alle linee guida delle nuove Direttive dell’Unione Europea

I consigli di CybergON alle aziende per prepararsi a recepire gli adempimenti delle due norme: puntare su un Soc e sulla formazione continua ai dipendenti

Leggi la rivista ⇢

  • n.305 - Settembre 2022
  • n.304 - Luglio 2022
  • n.303 - Giugno 2022
Edicola Web

Ti potrebbero interessare ⇢

Nicoletta Buora


A partire dal 2024, il Regolamento Dora e la Direttiva Nis 2 introdurranno nuovi obblighi in materia di sicurezza informatica.

L’obiettivo è disciplinare ulteriormente la gestione del rischio, incrementare il livello di consapevolezza delle minacce informatiche e sviluppare una maggiore capacità di prevenzione e risposta.

Ma quale impatto avranno queste direttive per le aziende? CybergON, la business unit di Elmec Informatica dedicata alla cybersecurity, ha identificato le best practice da mettere in atto per prepararsi a recepire gli adempimenti delle due norme.

Nuovi obblighi per la cybersecurity: il Regolamento Dora

Il Regolamento Dora (Digital Operational Resilience Act), relativo alla resilienza operativa digitale per il settore finanziario, è entrato in vigore il 16 gennaio 2023 e diventerà vincolante dal 17 gennaio 2025.

A partire da questo momento, gli operatori finanziari avranno l’obbligo di segnalare alle autorità competenti gli incidenti gravi connessi alle ITC e dovranno, inoltre, disporre di

  • una governance interna e di un quadro di controllo che sovrintenda la gestione del rischio affinché sia efficace e prudente
  • effettuare una serie di test periodici per identificare i punti deboli, le carenze o le lacune, al fine di attuare tempestivamente le misure correttive con un’applicazione proporzionata alle proprie dimensioni e al profilo di rischio
  • condividere le informazioni in modo lineare e trasparente.

La Direttiva Nis 2

Dall’altro lato, invece, la Direttiva sulla sicurezza delle reti e dei sistemi informativi nell’Unione (Direttiva Nis 2) è entrata in vigore il 17 gennaio 2023 e il recepimento sarà efficace solo a partire dal 18 ottobre 2024, lasciando così un margine di pianificazione di 21 mesi.

A partire da questo momento, i soggetti interessati da un incidente informatico dovranno effettuare un iter di notifica alle autorità competenti che comprende:

  • un preallarme entro il termine di 24 ore dalla conoscenza dell’incidente
  • una notifica entro il termine di 72 ore dalla conoscenza dell’incidente che aggiorni – se necessario – le informazioni del preallarme
  • una relazione finale entro un mese dalla trasmissione della notifica, il cui contenuto minimo è dettagliato dal legislatore.

La proposta di CybergON in merito al recepimento

Il suggerimento di CybergON è di procedere secondo due direzioni:

  • affidarsi a un Security Operation Center (Soc) che sia in grado di identificare le possibili minacce e le vulnerabilità della propria rete aziendale in tempi brevi
  • investire in una continua e adeguata formazione ai dipendenti.

Considerate la complessità e le specificità delle conoscenze richieste in ambito cybersecurity, molte aziende non sono in grado di poter compiere un percorso di sicurezza informatica da sole.

Per questo motivo, affidarsi a qualcuno che sia in grado di gestire tutte le attività in 24/7 si rivela una soluzione vantaggiosa anche da un punto di vista economico.
 
Sullo sfondo di questo scenario, CybergON identifica tre efficaci modalità che, se effettuate in modo continuativo, sono in grado di monitorare lo stato della propria infrastruttura:

  • l’erogazione di penetration test (un attacco informatico simulato autorizzato su un sistema informatico o una rete)
  • l’assessment delle vulnerabilità presenti (il complesso di attività svolte al fine di individuare il maggior numero possibile di vulnerabilità)
  • il controllo delle utenze

Inoltre, avere un Soc che si prenda la responsabilità del monitoraggio dell’infrastruttura aiuta a identificare eventuali problematiche prima che queste possano compromettere l’infrastruttura stessa, riducendo così i rischi che un incidente informatico possa rivelarsi critico.

Alla base di una buona strategia di difesa c’è sempre la formazione dei dipendenti

L’errore umano continua a essere uno dei motivi principali per cui un attacco informatico va a segno.

Per questo motivo, i corsi di formazione mirati al riconoscimento di mail malevole e alla promozione di comportamenti che prendono in considerazione la sicurezza informatica, restano l’elemento chiave per limitare i danni.

La Direttiva Nis 2 e il Regolamento Dora sono solo il primo passo di una nuova visione della sicurezza informatica sul lungo periodo.

Dora e Nis 2, come adempiere alle linee guida delle nuove Direttive dell’Unione Europea - Ultima modifica: 2023-05-04T11:10:16+02:00 da Nicoletta Buora

Automazionenews

Seguici

© Tecniche Nuove Spa • Tutti i diritti riservati. Sede legale: Via Eritrea 21 - 20157 Milano. Capitale sociale: 5.000.000 euro interamente versati. Codice fiscale, Partita Iva e Iscrizione al Registro delle Imprese di Milano: 00753480151

© New Business Media Srl • Tutti i diritti riservati. Sede legale Via Eritrea 21 - 20157 Milano. Codice fiscale, Partita IVA e Iscrizione al Registro delle imprese di Milano: 08449540965