Direttiva NIS2: un piccolo passo per l’umanità, un grande passo per la sicurezza informatica

I rischi legati alla sicurezza informatica sono in aumento (il phishing continua a essere la minaccia più diffusa : con circa 562,4 milioni di e-mail di phishing registrate, diventa necessario rafforzare le norme in materia di sicurezza. All'interno delle organizzazioni, la sicurezza deve essere rafforzata sia dal punto di vista tecnico che organizzativo. In quest'ottica, la direttiva NIS, o Network and Information Systems Directive, ha rappresentato una pietra miliare negli sforzi compiuti dall'Unione europea negli ultimi anni per rafforzare la sicurezza informatica e la resilienza delle infrastrutture critiche. Oggi è il turno di NIS2 di rivoluzionare gli standard di sicurezza informatica dell'UE.

La prima versione di questa direttiva, comunemente nota come NIS1, è stata adottata nel 2016 ed è entrata in vigore nel maggio 2018. Il suo obiettivo principale era quello di istituire un quadro giuridico comune per la sicurezza delle reti e dei sistemi informativi all'interno dell'Unione Europea.

La direttiva è stata elaborata nel contesto della crescente minaccia rappresentata dagli attacchi informatici e dai crimini informatici, che possono avere gravi ripercussioni sulla sicurezza nazionale, sull'economia e sui servizi pubblici. Riconoscendo l'importanza cruciale delle infrastrutture critiche, la direttiva mirava a creare un ambiente sicuro e resiliente per le reti e i sistemi informativi all'interno dell'UE.

E la sua versione precedente, NIS 2? Quali sono le novità rispetto a NIS 1? Chi è interessato? Diamo un'occhiata a tutto questo.

Direttiva NIS2: un piccolo passo per l’umanità, un grande passo per la sicurezza informatica

La direttiva NIS2, proprio come la sua predecessora NIS1, mira ancora a unificare e consolidare le norme in materia di sicurezza informatica in tutta l'Unione Europea, con una differenza non da poco: questa volta, infatti, ne amplierà notevolmente l'ambito di applicazione.

L'obiettivo principale di NIS2

L'obiettivo di questa nuova versione della direttiva è quello di ampliarne il campo di applicazione per includere nuovi settori. Ricordiamo che la NIS 1 riguardava solo gli enti designati come essenziali dagli Stati membri, ovvero gli Operatori di Servizi Essenziali, o «OSE».
Ora che conosciamo la principale modifica di NIS2 rispetto a NIS1, la domanda è: chi è interessato?

Chi è interessato dalla direttiva NIS2?

La direttiva NIS2 riguarda diversi settori critici quali l’energia, i trasporti, la sanità, i servizi bancari e finanziari, nonché i servizi digitali. Inizialmente, la direttiva NIS1 copriva 19 settori e, ampliando il proprio ambito di applicazione, la direttiva NIS2 si rivolge a un numero maggiore di imprese. Sono interessate circa 160.000 imprese. Questo nuovo ambito di applicazione comprende 16 settori aggiuntivi, per un totale di 35. Ciò riguarda migliaia di entità con più di 50 dipendenti e un fatturato superiore a un milione di euro.

Principali aspetti della direttiva

• Ampliamento dell'ambito di applicazione. Come già menzionato, la direttiva NIS2 estende l'ambito di applicazione della direttiva per includere nuovi settori e servizi digitali. Si tratta di piattaforme online, motori di ricerca e mercati online, che svolgono un ruolo sempre più cruciale nell'economia digitale.
• Rafforzamento degli obblighi di sicurezza.Come la normativa precedente, la direttiva NIS 2 impone obblighi di sicurezza più rigorosi ai fornitori di servizi digitali e agli operatori di infrastrutture critiche.
• Rafforzamento della cooperazione internazionale. Data la natura transnazionale delle minacce informatiche, la direttiva NIS2 rafforza la cooperazione internazionale tra gli Stati membri dell’UE e con altri partner.
• Gestione degli incidenti e dei rischi.La direttiva prevedeva disposizioni più rigorose in materia di gestione degli incidenti e dei rischi, compresi requisiti più severi per quanto riguarda la segnalazione degli incidenti e la cooperazione con le autorità competenti.
• Focus sulle tecnologie emergenti. Data la rapida evoluzione delle tecnologie, la direttiva NIS 2 era probabilmente incentrata sull'affrontare le sfide legate all'intelligenza artificiale, all'Internet delle cose (IoT) e ad altre innovazioni tecnologiche.
• Sanzioni e misure correttive. La direttiva NIS2 prevede sanzioni più severe in caso di non conformità e definisce misure correttive specifiche per garantire un'efficace attuazione delle misure di sicurezza informatica.

Come conformarsi a tali disposizioni?

Cosa occorre fare per conformarsi a questa nuova direttiva?

Esistono molti modi per conformarsi a questa nuova direttiva, ma è necessario almeno:

• Conoscere il livello di maturità del proprio sistema informativo. È importante ricordare che è fondamentale essere consapevoli della propria esposizione ai rischi. Più informazioni avrete sul vostro sistema, sia esso organizzativo o tecnico, più sarete in grado di elaborare il piano d’azione necessario per colmare eventuali lacune.
• Sensibilizzare e prepararsi. La sensibilizzazione e la prevenzione sono i vostri due migliori alleati in questo processo di adeguamento alle normative. Attuando misure organizzative come il programma «Prima di cliccare», vi impegnate a migliorare le buone pratiche informatiche dei vostri collaboratori e, di conseguenza, a proteggere la vostra organizzazione dagli attacchi informatici.
• Adottare le migliori pratiche. Esistono numerose migliori pratiche da adottare all'interno della vostra organizzazione per migliorarne la sicurezza informatica. Autenticazione a più fattori (MFA), gestori di password sicuri, utilizzo di protocolli di crittografia per lo scambio di dati tra utenti e server…
• Elaborare un piano di continuità operativa (PCO).Per prevenire gli imprevisti, si raccomanda vivamente di redigere un PCO al fine di limitare i danni in caso di attacco informatico.

Quando entrerà in vigore la direttiva NIS2 in Francia?

La direttiva NIS2 è stata adottata dal Parlamento europeo il 10 novembre 2022 e pubblicata il 27 dicembre 2022. La sua diffusione nell’Unione europea prosegue e la sua entrata in vigore in Francia è prevista al più tardi per ottobre 2024.

In che modo «Avant de Cliquer» può conformarsi a questa direttiva?

Prima di cliccare, sensibilizza la tua organizzazione al phishing. Questo strumento SaaS per la sensibilizzazione alla sicurezza informatica consente alla tua organizzazione di conformarsi a questa direttiva.
Ricordiamo che «Prima di cliccare» si articola in tre fasi fondamentali:

 

Apprendimento attraverso l'azione	Campagne di phishing automatizzate e adattate al livello di conoscenza di ciascuno. Formazione immediata a seguito della simulazione. Nessun utente riceve la stessa e-mail nello stesso momento. Oltre 1000 modelli diversi.
Formazione teorica	Moduli video suddivisi in brevi filmati della durata di 2-4 minuti. Diversi argomenti trattati in materia di sicurezza informatica; Quiz da svolgere e attestati di partecipazione.
Assistenza	Assistenza da parte di un responsabile clienti. Elaborazione di piani d'azione specifici per un gruppo o un reparto. Modelli personalizzati, acquisto di nomi di dominio simili al vostro…

 

Prima di cliccare, in conformità con questa direttiva, ciò consente, tra l'altro, di:

• • Sensibilizzare i vostri utenti alla sicurezza informatica, illustrando loro le diverse tecniche utilizzate dagli hacker e le buone pratiche da adottare per limitare i rischi di intrusione
  • Valutare la maturità dei vostri collaboratori in tempo reale grazie a un'area dedicata
  • Migliorare le competenze dei vostri utenti e renderli autonomi in qualsiasi situazione
  • Creare un clima di cyber-vigilanza all'interno della vostra organizzazione.

Effettuate subito una mappatura dei rischi

Avant de Cliquer vi offre una mappatura della vostra organizzazione. Per 5 giorni, conduciamo una prima campagna di phishing utilizzando tra i 50 e i 100 modelli di e-mail diversi, con l'invio da 1 a 4 e-mail per utente.

L'obiettivo di questa verifica è valutare il livello di attenzione dei vostri utenti tenendo conto di tre criteri principali:

• Il numero di e-mail ricevute;
• Il tasso di email aperte;
• Percentuale di email cliccate.

Al termine di questa verifica, un esperto vi presenterà una relazione completa che riporta tutti i dati raccolti nel corso dei 5 giorni di videoconferenza. Tale relazione vi verrà poi consegnata insieme a un'infografica che faciliterà la comunicazione dei risultati a tutti i vostri collaboratori.

Allora, cosa aspettate a elaborare una mappa dei rischi della vostra organizzazione?

Responsabili IT, responsabili della sicurezza informatica, responsabili della protezione dei dati: richiedete una dimostrazione gratuita della soluzione completamente automatizzata per la sensibilizzazione sul phishing e sul QRiching: