La crescente digitalizzazione delle imprese e l'interconnessione delle catene di approvvigionamento hanno portato a un aumento esponenziale dei rischi di attacchi informatici. In questo contesto, la Direttiva NIS 2 dell'Unione Europea introduce nuove misure per rafforzare la sicurezza informatica delle aziende, con particolare attenzione alla supply chain.
La Direttiva NIS 2: un quadro normativo in evoluzione
Come abbiamo già avuto modo di illustrare nel nostro precedente approfondimento sul tema, la Direttiva NIS 2 (2022/2555), entrata in vigore il 16 gennaio 2023, abroga e sostituisce la precedente Direttiva NIS, ampliando il suo campo di applicazione e introducendo requisiti più stringenti per la sicurezza informatica. (Per un approfondimento sulla NIS 2, si veda l'articolo dedicato sul nostro blog).
Adeguamento dell'impresa ai requisiti della Direttiva NIS 2
Per conformarsi alla NIS 2, le aziende devono adottare un approccio olistico alla cybersecurity, implementando misure tecniche e organizzative adeguate a gestire i rischi informatici. La Direttiva suggerisce un approccio "all-hazards", che tenga conto di tutte le possibili minacce, inclusi eventi fisici come furti o incendi.
Tra le misure raccomandate figurano le seguenti:
- analisi dei rischi e di sicurezza dei sistemi informatici;
- introduzione di procedure di gestione degli incidenti;
- implementazione di misure a garanzia della continuità operativa, come la gestione del backup e il ripristino in caso di disastro;
- adozione di politiche per la sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
- attuazione di misure di sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
- individuazione di strategie e procedure per valutare l'efficacia delle misure di gestione dei rischi di cybersicurezza;
- introduzione di pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
- adozione di politiche e procedure relative all'uso della crittografia e, se del caso, della cifratura;
- adozione di politiche di sicurezza delle risorse umane, strategie di controllo dell'accesso e gestione degli attivi;
- implementazione di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno.
Certificazione di conformità agli standard ISO/IEC 27001 e ISO 22301: un vantaggio competitivo
La certificazione di conformità agli standard internazionali ISO/IEC 27001 e ISO 22301 rappresenta un importante strumento per le aziende che desiderano dimostrare il proprio impegno verso la sicurezza informatica e la resilienza del business.
- ISO/IEC 27001: Questo standard definisce i requisiti per un sistema di gestione della sicurezza delle informazioni (SGSI), che consente di proteggere la riservatezza, l'integrità e la disponibilità delle informazioni aziendali. Un SGSI certificato ISO/IEC 27001 garantisce che l'azienda ha implementato misure di sicurezza efficaci per prevenire attacchi informatici, proteggere i dati sensibili e garantire la conformità alle normative vigenti.
- ISO 22301: Questo standard definisce i requisiti per un sistema di gestione della continuità operativa (SGCO), che consente di garantire la resilienza del business in caso di eventi critici, come disastri naturali, attacchi informatici o interruzioni di servizio. Un SGCO certificato ISO 22301 garantisce che l'azienda ha pianificato e implementato misure per ripristinare rapidamente le operazioni critiche in caso di interruzione, minimizzando l'impatto sul business.
Servizi di van Berings per la Supply Chain Cyber Security: un approccio integrato
Come già sottolineato, la Direttiva NIS 2 pone particolare attenzione al tema della cybersicurezza della catena di approvvigionamento (o “supply chain”). Al fine di garantire la sicurezza informatica della propria supply chain, le imprese possono adottare soluzioni non solo di natura squisitamente tecnica, avvalendosi di esperti di informatica, ma anche di natura legale.
A tal proposito, van Berings offre una consulenza legale a 360 gradi per assistere le aziende nella gestione dei rischi informatici nella supply chain. I nostri servizi includono:
- Definizione di policy e procedure: Redazione di policy e procedure interne per la gestione della sicurezza informatica nella supply chain, inclusi piani di risposta agli incidenti, piani di continuità operativa e piani di disaster recovery.
- Due diligence su fornitori e partner: Attività di due diligence per valutare la sicurezza informatica dei fornitori e dei partner commerciali, e negoziazione di clausole contrattuali specifiche.
- Gap analysis e risk assessment: Analisi del contesto aziendale e della catena di fornitura per identificare i rischi e le vulnerabilità, e valutazione della conformità alla Direttiva NIS 2 e agli standard ISO/IEC 27001 e ISO 22301.Tali servizi sono forniti in collaborazione diretta con i partner tecnici specializzati.
- Assistenza nella gestione degli incidenti: Supporto legale nella gestione degli incidenti informatici, inclusi data breach, ransomware e attacchi DDoS.
- Formazione e awareness: Programmi di formazione e awareness per i dipendenti sull'importanza della cybersecurity e sulle best practice da adottare.
- Assistenza nell'ottenimento delle certificazioni ISO/IEC 27001 e ISO 22301: Supporto nella progettazione, implementazione e mantenimento di un SGSI e di un SGCO conformi agli standard internazionali.
Conclusioni
La Direttiva NIS 2 e gli standard ISO/IEC 27001 e ISO 22301 rappresentano un nuovo paradigma per la cybersecurity aziendale: per questo, le aziende devono adottare un approccio proattivo e integrato per proteggere la propria supply chain dai rischi informatici. van Berings con i suoi partner tecnici dedicati è la realtà ideale per affrontare questa sfida con competenza e professionalità, offrendo una consulenza legale completa e personalizzata.