Mi occupo di sicurezza informatica a livello procedurale, sulla base delle linee guida ISO 27001:2005 e alle tecniche di prevenzione e profilassi dei pericoli informatici.

Lo standard ISO 2700X stabilisce che la sicurezza dell’informazione è caratterizzata da integrità, riservatezza e disponibilità.

Le linee guida sono organizzate in diverse sezioni, ogni sezione è dedicata ad una parte specifica:

  • politiche di sicurezza (Security Policy), forniscono le direttive di gestione ed il supporto per le informazioni di sicurezza.
  • sicurezza organizzativa (Security Organization):
    controllo della sicurezza delle informazioni in seno all’azienda;
    monitorare la sicurezza delle informazioni quando la responsabilità dell’elaborazione dell’informazione è stata conferita in outsource.
  • Controllo e classificazione dei beni (Asset Classification and Control):
    mantenere la protezione dell’assetto organizzativo e garantire che l’assetto delle informazioni riceva un appropriato livello di protezione.
  • Sicurezza del personale (Personnel Security):
    Ridurre i rischi di errore, di furto, di frode o di abuso da parte degli operatori;
    accertarsi che gli utenti siano informati delle possibili minacce e preoccupazioni sulla sicurezza delle informazioni e siano dotati a sostenere la politica della società sulla sicurezza nel corso del loro lavoro normale;
    per minimizzare i danni dagli avvenimenti e dalle disfunzioni di sicurezza ed imparare da tali avvenimenti.
  • sicurezza fisica e ambientale (Physical and Environmental Security):
    impedire l’accesso, il danneggiamento e l’interferenza dei non autorizzati all’interno del flusso delle informazioni del business;
    impedire perdita, danni o l’assetto del sistema e la interruzione delle attività economiche;
    impedire la manomissione o il furto delle informazioni.
  • Gestione di comunicazioni e operazioni (Communications and Operations Management):
    accertarsi del corretto funzionamento e facilità di elaborazione dell’informazione;
    minimizzare il rischio di guasti dei sistemi;
  • Controllo di accesso (Access Control):
    per controllare l’accesso alle informazioni;
    per impedire l’accesso non autorizzato ai sistemi d’informazione;
    per rilevare le attività non autorizzate;
  • Sviluppo e manutenzione di sistemi (System Development and Maintenance):
    mantenere la sicurezza del software e dei dati di sistema.
  • Gestione continuità operativa (Business Continuity Management):
  • Adeguatezza (Compliance):
    evitare il non rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza;

NIS2 Accendiamo la Cyber Security la norma (D. Lgs n. 138/2024)

Compliance e resilienza digitale, ti aiutiamo a rispettare la conformità

La Direttiva NIS2, entrata in vigore a metà ottobre e recepita in Italia con apposito decreto legislativo (D. Lgs n. 138/2024), mira a rafforzare la sicurezza informatica e la resilienza operativa digitale delle organizzazioni che offrono servizi all’interno dell’Unione Europea in specifici settori (chiamati “settori ad alta criticità” e “altri settori critici”).

La Direttiva sostituisce la precedente del 2016, ampliando il suo ambito di applicazione e introducendo requisiti più stringenti per la protezione delle reti e dei sistemi informativi.

Se da un lato la compliance alla NIS2 è obbligatoria per motivi di sicurezza, dall’altro offre alle imprese l’opportunità di:

  • incentivare l’innovazione interna, modernizzando la propria infrastruttura IT e aumentando la sicurezza e l’efficienza dei processi;
  • rafforzare la credibilità aziendale e la fiducia di clienti e partner;
  • potenziare la competitività e accedere a mercati più ampi.

A chi si applica la Direttiva NIS2

La Direttiva obbliga le organizzazioni pubbliche e private, che operano in 18 settori considerati particolarmente rilevanti (perché ritenuti fondamentali per il funzionamento della società e dell’economia europea), ad alzare i loro livelli di sicurezza informatica.

L’ACN (Agenzia per la Cybersicurezza Nazionale) nominata autorità italiana competente per l’applicazione della Direttiva dal decreto legislativo di recepimento, ha individuato questi settori critici in conformità alla Direttiva stessa, tra cui:

  • energia
  • trasporti
  • sanità
  • infrastrutture digitali (data center, cloud, telecomunicazioni)
  • servizi ICT
  • Pubblica Amministrazione

Per quanto riguarda le organizzazioni private, sono obbligate ad adeguarsi solo le imprese di grandi e di medie dimensioni. Per le piccole e microimprese invece dipende dalla loro rilevanza nel settore di riferimento.

Le organizzazioni interessate dalla NIS2 devono implementare misure tecniche, operative e organizzative appropriate per gestire i rischi legati alla sicurezza informatica, tra cui:

  • attuazione di misure per la gestione dei rischi e la protezione dei sistemi da vulnerabilità e minacce cibernetiche emergenti;
  • obbligo di notifica degli incidenti con impatti significativi entro 24 ore dalla scoperta, per garantire una risposta rapida e coordinata; le notifiche andranno fatte al competente CSIRT Italia (Computer Security Incident Response Team), la struttura interna all’ACN che ha la responsabilità di monitorare, intercettare, analizzare e rispondere agli incidenti informatici;
  • adozione di misure di sicurezza avanzate, come ad esempio l’autenticazione multifattore, la crittografia e la cifratura, per aumentare la protezione dei dati e prevenire accessi non autorizzati;
  • formazione continua degli organi apicali delle imprese coinvolte (organi di amministrazione e organi di direzione), e promozione della formazione di tutto il personale coinvolto, allo scopo di creare, in ottica preventiva, una cultura aziendale della sicurezza.
  • Il dettaglio degli obblighi e delle misure sarà definito da ACN nel corso del 2025 e, secondo la timeline condivisa dalla stessa Agenzia, l’implementazione dei nuovi obblighi sarà graduale e progressiva:
  • i nuovi obblighi di notifica si applicheranno da gennaio 2026;
  • le nuove misure di cybersicurezza dovranno essere implementate a partire da settembre 2026.

Il portale dell’ACN per la conformità a NIS2 (www.acn.gov.it) , portale per la registrazione delle organizzazioni cui si applica la Direttiva NIS2.

Future Touch fornisce alle imprese soluzioni mirate che le aiutano a raggiungere il livello di conformità richiesto dalla Direttiva NIS2:

  1. sicurezza informatica con soluzioni avanzate di crittografia, essenziali per proteggere i dati sensibili e garantire che le comunicazioni e i processi aziendali siano sicuri e conformi agli standard europei;
  2. servizi cloud e hosting certificati. L’infrastruttura e i servizi cloud sono sicuri e qualificati anche da ACN per l’erogazione di servizi alla PA, e offrono un ambiente protetto per l’archiviazione e la gestione dei dati aziendali;
  3. gestione delle identità digitali con soluzioni per l’autenticazione forte, come lo SPID e la firma digitale, che garantiscono l’accesso sicuro alle risorse aziendali e contribuiscono ad aumentare la protezione da furti di identità e accessi non autorizzati;
  4. soluzioni di backup e disaster recovery per garantire la continuità operativa in caso di attacco o incidente informatico.
  5. Percorso per la certificazione ISO/IEC 27001:2022

È importante sottolineare che le soluzioni sono progettate per supportare le imprese nel processo di adeguamento, ma non garantiscono l’automatica conformità alla normativa. La valutazione dell’effettiva adeguatezza delle soluzioni può essere eseguita solamente dalla singola impresa, caso per caso.

Sono al fianco della tua impresa nell’adeguamento a NIS2 con le sue soluzioni tecnologiche avanzate, è il partner strategico ideale per supportare la tua impresa in ogni fase del processo di adeguamento, e raggiungere la conformità alla normativa europea in modo efficiente. Affidandoti al nostro team potrai concentrarti sulla crescita della tua attività, mentre gestisci con serenità le sfide legate alla sicurezza informatica e alla protezione dei dati.

La Direttiva NIS2 offre alle imprese l’opportunità di modernizzare e potenziare la propria infrastruttura digitale. Non solo un obbligo normativo, quindi, ma anche un passo decisivo verso una maggiore resilienza e competitività nel lungo periodo.

Non lasciare l’opportunità di adeguare la tua impresa alla compliance NIS2, contattami per affrontare al meglio il percorso verso la resilienza operativa digitale.

Fonti Ufficiali: