Dopo la scadenza del 17 ottobre 2024, il recepimento della direttiva NIS2 continua a mobilitare l'ANSSI. Le entità essenziali e importanti devono già conformarsi agli articoli 20 e 21, che richiedono una governance strutturata della sicurezza informatica, solide misure tecniche e un sistema di gestione degli incidenti.
La direttiva NIS2 rappresenta un importante passo avanti per la sicurezza informatica europea, sostituendo e rafforzando la prima versione del 2016. Amplia notevolmente il campo di applicazione delle organizzazioni interessate e impone misure di sicurezza più severe: governance rafforzata, protezione tecnica solida e gestione degli incidenti.
L'obiettivo è stabilire un livello elevato e armonizzato di sicurezza informatica all'interno dell'Unione europea.
| I PILLARI | QUALE IMPATTO? |
|---|---|
| Governance della sicurezza | La governance della sicurezza delle informazioni richiede una serie di iniziative interfunzionale: definire i ruoli con un responsabile della sicurezza, stabilire di un PSSI, mappatura dei fornitori di IS e di servizi, gestione del rischio con analisi periodiche, verifiche di conformità e l'integrazione della sicurezza nella gestione delle risorse umane, in particolare attraverso la formazione dei dipendenti. |
| Misure di protezione tecnica | Le misure di protezione tecnica integrano l'aspetto organizzativo il mantenimento delle condizioni di sicurezza, il controllo degli accessi fisici, la manutenzione del proteggere l'architettura dell'IS e l'accesso remoto, distribuire soluzioni anti-malware, hardening delle configurazioni, gestione rigorosa e l'implementazione di sistemi di continuità operativa. |
| Gestione degli incidenti | Gli incidenti di sicurezza sono inevitabili, per cui l'organizzazione deve avere una sistema di risposta globale. Questo si basa su tre pilastri: un sistema di Rilevamento SIEM supervisionato da un SOC, capacità di risposta tramite un CERT o esternalizzate, e le procedure di gestione delle crisi che sono state sperimentate e testate. esercizi periodici. |
La direttiva NIS 2 afferma le ambizioni geopolitiche dell'Europa in materia di sicurezza informatica. Estendendo il suo campo di applicazione e armonizzando i requisiti tra gli Stati membri, l'Europa rafforza la sua resilienza collettiva di fronte alle minacce informatiche. Questo quadro normativo stabilisce standard esigenti che consentiranno al continente di sviluppare un'autonomia strategica in un settore finora dominato dalle potenze americana e cinese.
La direttiva NIS2 si applica a un'ampia gamma di organizzazioni, che si dividono in due categorie:
entità essenziali (energia, trasporti, sanità, infrastrutture digitali) ed entità importanti (industria alimentare, gestione dei rifiuti, servizi postali, manifattura).
Riguarda migliaia di entità in più di diciotto settori, dalle amministrazioni pubbliche alle aziende private, dalle PMI ai grandi gruppi.