La NIS 2 in pratica: Cosa offre e dove permangono le lacune
Introduction
La NIS 2 è l'aggiornamento più significativo dell'UE ai requisiti di sicurezza delle reti e delle informazioni da anni, spingendo la cybersecurity da una preoccupazione IT a una priorità del consiglio di amministrazione. La direttiva è strutturalmente solida sotto diversi aspetti, ma il suo impatto nel mondo reale dipende da un'applicazione coerente tra gli stati membri e tale coerenza è ancora in fase di sviluppo.
Key Takeaways
- La segnalazione degli incidenti segue una rigorosa tempistica in tre fasi: 24 ore, 72 ore, un mese.
- La responsabilità della catena di approvvigionamento si estende all'intera rete di fornitori e venditori.
- L'implementazione frammentata tra gli stati membri crea attriti di conformità per le organizzazioni transfrontaliere.
- Senza standard armonizzati, la NIS 2 rischia di produrre attività di conformità piuttosto che una reale resilienza.
La direttiva aggiornata dell'Unione Europea sulla sicurezza delle reti e dei sistemi informativi (NIS 2) mira a elevare la cybersecurity in tutti i settori critici introducendo responsabilità chiare, una segnalazione più rapida degli incidenti e una maggiore attenzione alla gestione del rischio della catena di approvvigionamento. L'intento della direttiva è rendere la cybersecurity una priorità strategica per le organizzazioni in tutta l'UE, integrandola nelle discussioni del consiglio di amministrazione e nei framework di rischio.
Uno dei cambiamenti più significativi della NIS 2 è l'inasprimento dei requisiti di segnalazione degli incidenti. Le organizzazioni devono ora notificare le autorità entro 24 ore dalla conoscenza di un incidente grave, fornire aggiornamenti dettagliati entro 72 ore e presentare un rapporto completo entro un mese. Questa tempistica strutturata apporta maggiore trasparenza e urgenza alla gestione degli incidenti informatici.
Un altro elemento chiave della NIS 2 è l'enfasi sulla sicurezza della catena di approvvigionamento. Le aziende sono tenute a valutare e gestire i rischi di cybersecurity non solo all'interno delle proprie operazioni, ma anche nell'intero ecosistema di fornitori e venditori. Ciò amplia la responsabilità e rende la presa di decisioni basata sul rischio di primaria importanza.
Tuttavia, nonostante questi progressi, le sfide di implementazione rimangono. La direttiva stabilisce requisiti minimi, ma mancano ancora standard comuni a livello UE, modelli di segnalazione condivisi e sistemi interoperabili. Poiché ogni stato membro attualmente interpreta e applica la NIS 2 in modo diverso – dalle definizioni e scadenze ai formati di segnalazione – le organizzazioni che operano a livello internazionale affrontano una potenziale duplicazione degli sforzi e una maggiore complessità di conformità.
Esperti e professionisti sottolineano l'importanza di sviluppare tassonomie armonizzate degli incidenti, framework di segnalazione centralizzati e interfacce allineate con altre normative UE come GDPR e DORA. Tale standardizzazione ridurrebbe gli attriti, migliorerebbe la comparabilità dei dati tra i confini e aiuterebbe le organizzazioni a superare la semplice conformità per raggiungere una resilienza misurabile della cybersecurity.
👉 Leggi l'articolo completo su Security-Insider:
https://www.security-insider.de/nis2-eu-standards-meldeprozesse-lieferkette-a-f6ea51861527cb7f1785eca4b50787a3/
Pubblicato su: security-insider.de
Autore: Antonio Mecci
Conclusion
La NIS 2 si muove nella giusta direzione, ma la definizione di soglie minime senza standard comuni sottostanti pone un onere sproporzionato sulle organizzazioni che operano in più giurisdizioni. Se la direttiva raggiungerà il suo intento dipenderà dall'infrastruttura costruita attorno ad essa: tassonomie condivise, reporting interoperabile e allineamento normativo con GDPR e DORA.
