Automazione Oggi 457

Normativa OTTOBRE 2024 AUTOMAZIONE OGGI 457 | 95 informatici. Pertanto, questa evoluzione della sicurezza dovrebbe essere il prossimo passo logico in un percorso che la maggior parte delle aziende ha già intrapreso da anni. Ma come possono le aziende che sono all’ini- zio del loro percorso di conformità, iniziare a capire i requisiti della normativa NIS 2 estesa? Zscaler ha creato una guida in 6 fasi per aiutare i responsabili aziendali a monitorare i progressi e avviare i cambiamenti necessari per rag- giungere la conformità prima della scadenza prevista di ottobre, quando la Direttiva NIS 2 diventerà legge. 1 - Le aziende devono registrarsi In primo luogo, le aziende devono valutare se sono coinvolte dal nuovo campo di appli- cazione, prima di agire di conseguenza. L’UE stima che più di 160.000 aziende e 15 settori dovranno conformarsi alla NIS 2, in quanto ri- entrano nell’ampliamento delle categorie per cui è richiesta. Tutti saranno soggetti a “requi- siti più stringenti per la gestione del rischio e la segnalazione degli incidenti, una copertura più ampia dei settori e sanzioni più severe in caso di non conformità”. Partendo dalle basi gettate dalla Direttiva NIS originale, la NIS 2 non solo amplia l’ambito di applicazione delle entità coperte, ma introduce anche misure di conformità più spinte. L’ag- giornamento del campo di applicazione della Direttiva ne amplia significativamente l’appli- cazione e introduce requisiti più severi sia per le entità categorizzate come ‘essenziali’, sia per quelle definite ‘importanti’. In base alla Direttiva europea, ogni azienda che rientra nell’ambito di applicazione della NIS 2 deve registrarsi in modo proattivo su un portale fornito dall’autorità specifica del Paese. Il processo di registrazione sarà legger- mente diverso in ogni Paese e, purtroppo, al momento questo portale di registrazione non è ancora attivo nella maggior parte dei Paesi dell’UE. Tuttavia, le aziende dovrebbero già fa- miliarizzare con la Direttiva UE, che sarà il mo- dello per tutte le normative locali, per capire se rientrano nel suo ambito di applicazione. Se hanno filiali in tutta l’Unione, devono assicu- rarsi di adottare le misure necessarie per tutti i Paesi. Una volta che le aziende hanno valutato la ne- cessità di conformarsi e la registrazione è av- venuta, è necessario predisporre un piano per l’attuazione della Direttiva. 2 - Organizzare il processo per raggiungere la conformità Se un’azienda non utilizza ancora certificazioni o quadri normativi nell’area della sicurezza in- formatica, NIS 2 è un buon punto di partenza. Se esistono altri quadri di riferimento per la si- curezza informatica, lo sforzo aggiuntivo verso la NIS 2 dovrebbe essere limitato, poiché molti dei requisiti sono già noti nei quadri comuni di riferimento. La mappatura di questi quadri è un buon punto di partenza per organizzare il pro- cesso di conformità. Tali mappature sono ora disponibili pubblicamente, o possono essere ottenute dai fornitori di servizi. L’allineamento ai quadri di sicurezza a livello UE non è qualcosa che la dirigenza di un’azienda può delegare al team della sicurezza, disinte- ressandosene e scaricando la responsabilità. Se viene rilevata la mancata conformità, infatti, le ripercussioni a livello finanziario, sia per l’a- zienda che per i singoli, possono essere severe, con potenziali sanzioni per i comportamenti più gravi. I dirigenti aziendali devono, dunque, prendere sul serio le normative e mettere in campo team con le conoscenze e l’esperienza necessarie per verificare gli asset e le policy attuali con il rigore e il livello di dettaglio necessari. 3 - Creare il team NIS 2 La responsabilità dell’intero processo NIS 2 do- vrebbe, verosimilmente, ricadere sull’ufficio del Ciso, che può delegare le fasi appropriate a un gruppo di progetto più ampio, assicurando la disponibilità di esperti in materia provenienti da vari settori dell’azienda. Prima di creare qual- siasi squadra interna è necessario assegnare un capo progetto che possa guidare l’audit, e sud- dividere i documenti riguardanti la Direttiva NIS 2 per garantire le migliori pratiche in tutti gli uffici e i fornitori terzi. Avere un’unica persona responsabile della revisione dei documenti si- gnifica che l’azienda si allinea a un’unica inter- pretazione del quadro normativo, piuttosto che a molteplici variazioni tra le varie regioni. In base alle diverse sezioni della Direttiva NIS 2, il responsabile del progetto deve coinvolgere esperti in materia per supportare il più ampio team della sicurezza informatica. Molte grandi aziende avranno già una divisione specifica all’interno del team legale o della si- curezza, che si occupa di certificazioni e audit, e questo approccio dovrebbe essere adottato per la conformità alla NIS 2. Questi soggetti avranno una conoscenza approfondita del patrimonio tecnologico e saranno in grado di identificare molto più rapidamente le aree dell’azienda più carenti in termini di sicurezza. Per le aziende più piccole, che non dispongono di questi sottogruppi o del budget necessario per crearne uno, l’approccio migliore sarebbe quello di creare una task force congiunta, che raccolga il giusto livello di conoscenze su cosa cercare durante l’audit. Fonte: foto Shutterstock Zscaler ha creato una guida in 6 fasi per aiutare i responsabili aziendali ad avviare i cambiamenti necessari per raggiungere la conformità alla NIS 2