Per chi sarà tenuto all’adeguamento NIS2 (Direttiva UE n. 2555 del 2022), gli step da intraprendere sono scanditi in via esaustiva anche dal testo della normativa.
Uno dei passi più importanti nella fase iniziale di compliance alla NIS è la possibilità per le aziende coinvolte di eseguire una gap analysis (letteralmente: analisi delle lacune) dei sistemi informativi e processi adottati.
Quali sono i vantaggi di effettuare una gap analysis NIS2?
Quest’analisi permette di individuare in maniera sistematica le vulnerabilità e criticità delle infrastrutture digitali e strutturali delle società che vi si sottopongono e, inoltre, questo processo conferisce nelle mani delle aziende dei veri e propri manuali di istruzione.
Una volta portata a termine la gap analysis, le organizzazioni potranno identificare con precisione gli aspetti di cui si rende necessaria l’implementazione per l’adeguamento e, più in generale, sarà molto più semplice prevedere una pianificazione di un percorso di conformità.
Grazie all’adozione di un approccio multirischio (art. 21 Direttiva UE 2022/2555 – Misure di gestione dei rischi di cibersicurezza), la risultanza di quest’analisi garantirà la facile individuazione delle misure organizzative, tecniche ed operative necessarie per la protezione dei sistemi informatici e delle reti aziendali dagli attacchi esterni.
Quali elementi minimi vanno considerati per garantire l’approccio risk-based?
Al contrario del buon vecchio GDPR, la Direttiva UE NIS2 fornisce alle aziende delle indicazioni concrete da seguire per l’ottemperamento del disposto normativo.
Come vedremo in seguito, sebbene l’elenco riportato nella Direttiva non sia sancito in via esaustiva, viene comunque indicata una pluralità di elementi minimi necessari da tenere in considerazione ai fini dell’effettuazione della Gap Analysis.
L’articolo 21, comma 2 della Direttiva NIS2, detta i seguenti elementi:
a) politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
b) gestione degli incidenti;
c) business continuity e disaster recovery;
d) sicurezza della supply chain;
e) sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete (con particolare riguardo alla gestione delle vulnerabilità);
f) procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersecurity;
g) best practice di igiene informatica base e formazione in materia di cybersecurity;
h) policy relative all’uso della crittografia e, ove applicabile, della cifratura;
i) sicurezza delle risorse umane e strategie di controllo degli accessi (logici e fisici);
j) uso di soluzioni di autenticazione multifattoriale o continua, scambio di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti anche internamente, ove applicabile.
Monitoraggio e aggiornamento: il core della NIS2
La gap analysis è il punto di partenza per l’individuazione degli step necessari per rendere la propria società compliant alla NIS2. Ovviamente, sebbene questo sia un ottimo inizio, non è sufficiente. Sarà, invero, fondamentale che ogni azienda rientrante in perimetro provveda al costante monitoraggio dei propri livelli di sicurezza e al consequenziale aggiornamento delle misure necessarie per la prevenzione delle vulnerabilità e le minacce.
B&P Solution e il suo team di consulenti esperti sono a tua disposizione!
Se sei interessato ad avere più informazioni sulla compliance NIS2 e sull’effettuazione di Gap Analysis basate sul CSF NIST 2.0, non esitare a contattarci.
Dott.ssa Matilde Grassi
