Loading...

Governance

NIS2 e DORA: cosa devono fare le aziende  

La Direttiva NIS2 e il Regolamento DORA introducono un nuovo quadro normativo UE per rafforzare la sicurezza informatica e la resilienza digitale. Le aziende devono adeguarsi alle nuove disposizioni entro il 17 ottobre 2024 (NIS2) e il 17 gennaio 2025 (DORA) per proteggere infrastrutture e servizi critici.

Resilienza digitale contro le minacce

Indice dei contenuti

  • Cosa sono DORA e NIS2? 
  • Come le aziende possono adeguarsi 
  • Verifica dell’ambito di applicazione 
  • Pianificazione e valutazione del rischio 
  • Implementazione di misure di sicurezza avanzate 
  • Continuità operativa e piani di emergenza 
  • Monitoraggio continuo e audit 
  • Sensibilizzazione e formazione 
  • Gestione dei fornitori ICT 

Con l’entrata in vigore della Direttiva NIS2 (Direttiva UE 2022/2555) e del Regolamento DORA, l’Unione Europea introduce un nuovo quadro normativo per migliorare la sicurezza informatica e la resilienza operativa digitale

Questi provvedimenti sono essenziali per proteggere le infrastrutture digitali e i servizi critici, sempre più vulnerabili a attacchi informatici. Le aziende devono quindi adottare misure concrete per allinearsi alle nuove disposizioni entro il 17 ottobre 2024 per NIS2 e il 17 gennaio 2025 per DORA. 

Cosa sono DORA e NIS2? 

La Direttiva NIS2 

La Direttiva NIS2 aggiorna ed amplia il perimetro della precedente Direttiva NIS, includendo nuovi settori critici come fornitori digitali, servizi postali, e organizzazioni di ricerca. Tra le sue principali novità, introduce: 

  • obblighi di segnalazione per gli incidenti informatici rilevanti;
  • misure di gestione del rischio più rigorose;
  • un sistema di sanzioni per il mancato rispetto delle disposizioni. 

NIS2 promuove un approccio di sicurezza basato sul rischio, con focus su sicurezza delle reti e protezione contro minacce informatiche

Il Regolamento DORA 

Il Regolamento DORA (Digital Operational Resilience Act) si concentra sulle aziende del settore finanziario e sui loro fornitori di servizi ICT, imponendo: 

  • requisiti di resilienza operativa digitale;
  • valutazioni di rischio estese ai fornitori esterni;
  • obblighi di mantenimento della continuità operativa durante incidenti informatici

DORA rappresenta un passo fondamentale per creare un ecosistema digitale sicuro e affidabile. 

Come le aziende possono adeguarsi 

Adeguarsi alle normative NIS2 e DORA richiede un approccio integrato e strategico. Non si tratta semplicemente di rispettare le regole, ma di sviluppare una cultura aziendale orientata a migliorare la  resilienza operativa digitale e alla prevenzione degli incidenti informatici. Analizziamo in dettaglio le azioni chiave che le aziende devono intraprendere per conformarsi alle nuove disposizioni. 

Verifica dell’ambito di applicazione 

Il primo passo è determinare se la propria attività rientra tra i soggetti obbligati da NIS2 e DORA. Questo processo di verifica include: 

  • Analisi del settore di riferimento
    NIS2 si applica a un’ampia gamma di settori critici come energia, trasporti, sanità, infrastrutture digitali e fornitori di servizi online. DORA, invece, è specifico per aziende finanziarie e fornitori di servizi ICT. 
  • Valutazione dell’impatto aziendale
    Identificare se i propri processi o servizi hanno un ruolo strategico nella continuità operativa delle infrastrutture critiche dell’Unione Europea. 

Una chiara comprensione dell’ambito di applicazione permette di adattare le misure alle specifiche esigenze normative. 

Pianificazione e valutazione del rischio 

La gestione del rischio è il cuore di entrambe le normative. Le aziende devono implementare un approccio risk-based, che prevede: 

  • Mappatura delle minacce informatici
    Identificare potenziali fonti di attacchi informatici o vulnerabilità interne, come falle nei sistemi o errori umani. 
  • Valutazione del rischio
    Calcolare la probabilità di un incidente e il suo impatto. Questo può essere fatto utilizzando metodologie standardizzate come ISO/IEC 27005 o framework NIST. 
  • Definizione delle priorità
    Assegnare risorse e interventi alle aree con il più alto livello di rischio. 

Una buona pianificazione del rischio consente di anticipare i problemi e intervenire prima che si verifichino incidenti gravi. 

Implementazione di misure di sicurezza avanzate 

Le misure di sicurezza non possono essere generiche, ma devono rispondere alle esigenze specifiche del contesto aziendale. Tra le principali: 

  • Cifratura dei dati
    Proteggere i dati a riposo (archiviati) e in transito (comunicazioni) con tecniche avanzate come crittografia AES-256 o protocolli sicuri come HTTPS e VPN. 
  • Protezione della reti aziendale
    Utilizzare firewall, sistemi IDS/IPS per monitorare e bloccare traffico sospetto, e segmentare le reti per limitare la propagazione degli attacchi. 
  • Gestione degli accessi
    Adottare politiche di accesso basate sul principio del minimo privilegio e implementare l’autenticazione a due fattori (2FA) per tutti i dipendenti e partner esterni. 

Queste misure rafforzano la sicurezza informatica e riducono il rischio di compromissione dei sistemi. 

La sicurezza informatica e la resilienza operativa digitale

Continuità operativa e piani di emergenza 

La capacità di reagire rapidamente agli incidenti informatici è essenziale per minimizzare i danni e garantire la continuità aziendale. I piani chiave includono: 

  • Business Continuity Plan (BCP)
    Stabilire protocolli chiari per mantenere operative le funzioni aziendali essenziali anche durante un attacco o un’interruzione. 
  • Disaster Recovery Plan (DRP)
    Definire le azioni tecniche per ripristinare rapidamente dati, sistemi e infrastrutture. Questo include l’utilizzo di siti di backup (cold, warm o hot sites) e strumenti di replica dei dati. 

La simulazione periodica di scenari di crisi aiuta a testare l’efficacia dei piani e migliorare la preparazione. 

Monitoraggio continuo e audit 

La conformità a NIS2 e DORA non è un traguardo statico, ma un processo continuo. È necessario stabilire: 

  • Sistemi di monitoraggio
    Utilizzare soluzioni di Endpoint Detection and Response (EDR) e Security Information and Event Management (SIEM) per rilevare attività sospette e analizzare eventi in tempo reale. 
  • Audit periodici
    Condurre verifiche regolari per valutare l’adeguatezza delle misure implementate rispetto ai requisiti normativi. 
  • Aggiornamenti tecnologici
    Garantire che le infrastrutture siano sempre protette contro le minacce emergenti, implementando aggiornamenti software e patch di sicurezza. 

Sensibilizzazione e formazione 

Gli errori umani rimangono una delle principali cause di incidenti informatici. Per questo motivo, investire nella formazione del personale è cruciale. Le aziende dovrebbero organizzare: 

  • Sessioni formative periodiche
    Istruire i dipendenti sui rischi informatici e sulle misure preventive, come il riconoscimento di email di phishing. 
  • Simulazioni di attacco
    Testare la reazione del personale a scenari realistici, migliorando la loro capacità di rispondere efficacemente. 
  • Iniziative di sensibilizzazione
    Diffondere una cultura aziendale orientata alla sicurezza, coinvolgendo anche i livelli dirigenziali. 

Un personale formato è la prima linea di difesa contro le minacce informatiche. 

Gestione dei fornitori ICT 

Sia NIS2 che DORA pongono grande enfasi sulla gestione della supply chain digitale. Le aziende devono assicurarsi che i loro fornitori rispettino standard di sicurezza adeguati, attraverso: 

  • Contratti vincolanti
    Includere clausole specifiche sui requisiti di sicurezza ICT. 
  • Valutazioni periodiche
    Verificare le misure di sicurezza adottate dai fornitori e richiedere rapporti regolari sulle loro performance. 
  • Piani di emergenza congiunti
    Collaborare con i fornitori per definire strategie di risposta agli incidenti che possano influire sui servizi critici. 

Domande e risposte

  1. Cosa prevede la Direttiva NIS2?
    La Direttiva NIS2 introduce obblighi di gestione del rischio e segnalazione per migliorare la sicurezza delle reti nei settori critici. 
  1. Qual è l’obiettivo del Regolamento DORA?
    Garantire la resilienza operativa digitale delle aziende finanziarie e dei loro fornitori ICT contro le minacce informatiche. 
  1. Chi deve adeguarsi a NIS2 e DORA?
    Aziende di settori critici, fornitori digitali, organizzazioni finanziarie e loro fornitori di servizi ICT. 
  1. Quando entra in vigore la Direttiva NIS2?
    NIS2 sarà applicabile dal 17 ottobre 2024. 
  1. Quando sarà applicabile il Regolamento DORA?
    Il Regolamento DORA entrerà in vigore il 17 gennaio 2025. 
  1. Quali misure devono adottare le aziende?
    Analisi del rischio, protezione delle reti, piani di continuità operativa e formazione del personale. 
  1. Cosa sono il Business Continuity e il Disaster Recovery?
    Sono piani operativi per garantire la continuità e il ripristino delle attività in caso di incidenti informatici. 
  1. Qual è la differenza tra NIS2 e DORA?
    NIS2 si applica a settori critici e include obblighi di segnalazione, mentre DORA riguarda la resilienza digitale nel settore finanziario. 
  1. Quali sanzioni sono previste per il mancato adeguamento?
    Sono previste multe proporzionate alla gravità della violazione, definite a livello nazionale. 
  1. Come le aziende possono monitorare i fornitori ICT?
    Attraverso contratti vincolanti e valutazioni periodiche del rischio sui fornitori esterni. 
To top