Normativa Europea

Conformità alla Direttiva NIS 2

La direttiva NIS è stata la prima iniziativa dell’UE per stabilire un quadro normativo uniforme per la sicurezza cibernetica e la direttiva NIS2 ha l’obiettivo di colmarne le lacune. Sono introdotti requisiti più severi per la gestione dei rischi e la segnalazione degli incidenti. Gli Stati membri dell’UE hanno tempo fino al 17 ottobre 2024 per recepire la NIS2 nella loro legislazione nazionale.

La NIS 2 in sintesi: articolo 21

La NIS 2 estende la portata della legislazione a un numero maggiore di settori quali l’energia, i trasporti, il settore bancario, le infrastrutture dei mercati finanziari, la sanità, l’acqua potabile, le acque reflue, l’infrastruttura digitale, la gestione dei servizi ICT, le amministrazioni pubbliche e lo spazio.

L’aspetto forse più rilevante è trattato all’articolo 21 della Direttiva UE 2022/2555 denominato Misure di gestione dei rischi di cybersicurezza, basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e comprendono almeno gli elementi seguenti:

politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
gestione degli incidenti;
continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza;
pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

L’ampiezza del portafoglio di servizi NexFiber in collaborazione con ReeVo e la loro integrazione, offre la risposta ottimale alla necessità di essere conformi con la nuova direttiva.

Consulta la mappatura dei servizi ReeVo sulle misure previste dall’articolo 21.

Mappatura dei servizi rispetto alla NIS 2

Politiche di analisi dei rischi e di sicurezza dei sistemi informatici

Cyber Risk Assessment, Cyber Attack Simulation, Cyber Threat Intelligence

Politiche di analisi dei rischi e di sicurezza dei sistemi informatici

Cyber Risk Assessment, Cyber Attack Simulation, Cyber Threat Intelligence

Gestione degli incidenti

SOC H 24/7/365 e servizio di Incident Response

Continuità operativa

Cloud Backup e Disaster Recovery

Sicurezza della catena di approvvigionamento

Cyber Threat Intelligence

Acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete, gestione e divulgazione delle vulnerabilità

Vulnerability Management (Continuous Vulnerability Assessment), Cyber Attack Simulation

Strategie e procedure per valutare l'efficacia delle misure di gestione dei rischi di cybersicurezza

Attività di consulenza specializzata

Pratiche di igiene informatica di base e formazione in materia di cybersicurezza

Piattaforma di Awareness

Politiche e procedure relative all'uso della crittografia e della cifratura

Document Encryption

Soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso

Attività effettuata con Business Partner certificati