Descrizione del servizio
La normativa europea sulla sicurezza informatica, introdotta nel 2016 con la ancora vigente direttiva NIS1 (direttiva (UE) 2016/1148), è stata aggiornata dalla direttiva NIS 2 (direttiva (UE) 2022/2555), entrata in vigore il 17 gennaio 2023 che ha abrogato con il D.Lgs. 138/2024, a partire da ottobre 2024, la precedente direttiva NIS 1.
L’obiettivo della direttiva NIS 2 è quello di affrontare un panorama di minacce mutato radicalmente e ovviare alle problematiche che hanno impedito alla direttiva NIS 1 di ottenere i risultati sperati, nonostante abbia certamente consentito di compiere significativi progressi nell’aumentare il livello di cyber-resilienza all’interno dell’Unione.
La direttiva NIS 2 ha infatti modernizzato il quadro giuridico esistente per tenere il passo con la crescente digitalizzazione e l’evoluzione del panorama delle minacce alla sicurezza informatica. Ampliando l’ambito di applicazione delle norme di cybersecurity a nuovi settori ed entità, migliora ulteriormente la resilienza e le capacità di risposta agli incidenti degli enti pubblici e privati, delle autorità competenti e dell’Unione Europea nel suo complesso.
Il supporto che offriamo alle aziende che rientrano nel campo di applicazione della Nis 2 si articolare nei seguenti punti ed ha l’obiettivo di fornire consulenza per l’implementazione di un sistema di gestione conforme agli standard previsti dalla Direttiva in oggetto:
- Predisposizione delle procedure di cui alla Direttiva
- Audit periodici sulla compliance
Punto 1 – Predisposizione delle procedure di cui alla Direttiva Nis 2
FASE 1
L’implementazione del sistema NIS 2 si avvia con una prima analisi dei GAP rispetto ai requisiti della direttiva, in modo da rilevare i punti su cui l’organizzazione dovrà avviare specifiche azioni affinchè il sistema documentale sua supportato da adeguati requisiti tecnici ed operativi.
FASE 2
Verrà dato supporto per la predisposizione dei seguenti documenti obbligatori anche in funzione dei requisiti di cui all’art. 21 della direttiva NIS2:
- Procedura per la gestione del rischio secondo la Direttiva NIS 2
- Risk Management Policy
- Procedura approvazione delle misure di gestione dei rischi di cybersecurity e sviluppo del Risk Treatment Plan
- Definizione del TEAM per la Cybersicurezza e del CISO
- Procedura Cybersecurity Incident Management
- Piano trattamento rischi
- Piano continuità aziendale
- Disaster Recovery Plan NIS2
- Piano gestione Crisi
- Sicurezza fornitori terze parti Policy
- Clausole di sicurezza Fornitori Partner
- Dichiarazione Riservatezza
- Politica per la Sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi
- Cybersecurity Policy
- Politica sull’uso della crittografia
- HR Security Policy
- Politica controllo Accessi
- Politica gestione Asset
- Politica Autenticazione
- Politica Comunicazione Sicura
- Politica Trasferimento Informazioni
- Procedura Azione Correttiva in caso di incidente e/o rilevazione di minaccia che può determinare un potenziale pericolo
- Information System Security Policy
- Definizione del piano dei miglioramenti
Sarà comunque necessario verificare la presenza di
- Backup Policy
- Procedura riesame direzione
- Procedura audit Interno
I suddetti documenti potranno essere integrati con quanto già presente in azienda.
FASE 3
- Identificazione e definizione del piano dei miglioramenti
Punto 2 – Audit periodici sulla compliance
Il NIS 2 Assessment è un processo che ha come obiettivo quello di analizzare e identificare il rispetto dei requisiti previsti dalla normativa in questione. È un requisito obbligatorio e rappresenta il primo step necessario per l’adozione della Direttiva. Annualmente verrà predisposto un piano un audit completo sui requisiti della normativa e verranno quindi condotti gli audit previsti. Al termine dell’attività sarà consegnato all’Organizzazione:
- RAPPORTO DI AUDIT: in cui saranno evidenziate per ogni requisito le eventuali aree di miglioramento e scostamenti classificandoli con un Livello di Priorità di Intervento, al fine di fornire all’Organizzazione un ordine di importanza per i successivi interventi;
- CHECK-LIST: in cui saranno riportate i requisiti previsti riportando quanto visionato durante l’AUDIT.
TEAM DI PROGETTO
Il progetto sarà coordinato e seguito, in collaborazione con il vostro referente IT interno, da un team di esperti in materia di Cybersecurity con esperienza e certificazioni nel settore ICT e sicurezza informatica (avvocati, esperti di privacy, sistemi di gestione, ingegneri e tecnici informatici).
Il Cliente dovrà identificare dei referenti da mettere a disposizione del nostro team per la buona riuscita del progetto, come ad esempio le risorse dell’IT Department ed eventuali altre figure da definire a seconda delle finalità progetto (ad es. il Responsabile HR per il piano formativo, ecc..)..
Contattaci per saperne di più.
Per maggiori informazioni
Paolo Bernardi – Irecoop Veneto
Tel. 049 80 76 143 – Cell. 333 187 1651
Email: p.bernardi@irecoop.veneto.it