Il Consiglio Direttivo AIIC ha approvato la nascita del GdL “La Direttiva NIS 2 e la gestione degli incidenti di cybersecurity”. Tutti i Soci AIIC che intendono partecipare sono invitati a manifestare la loro disponibilità entro il 15 novembre 2022, mandando una mail alla Segreteria segreteria@infrastrutturecritiche.it e per conoscenza al Coordinatore r.dalessandro@infrastrutturecritiche.it
Di seguito i dati salienti:
Promotori del Gruppo di Lavoro: Stefano Aterno e Raffaella D’Alessandro
Coordinatore: Raffaella D’Alessandro
Data inizio lavori: 16.11.2022
Durata max: 8 mesi
Descrizione del GdL e lista degli argomenti trattati
La Commissione europea ha già aperto i lavori per il naturale successore della Direttiva NIS: la Direttiva NIS2. La Direttiva NIS2 opererà lungo una direzione di continuità con la NIS. Reinterpreterà le disposizioni per adeguarsi al considerevole aumento di traffico nella rete e delle relative superfici di attacco. E’ previsto l’ampliamento dei settori di attività, e saranno coinvolte un numero e una varietà sempre maggiore di organizzazioni. La NIS2 amplia sia la lista dei requisiti minimi che le aziende devono garantire, sia il loro livello di coinvolgimento, estendendo di fatto la platea dei soggetti coinvolti, nella logica di rendere più sicure le intere supply chain. Dal punto di vista della cybersecurity si rende necessario scongiurare che un’infrastruttura critica possa essere messa in pericolo a causa delle vulnerabilità di un fornitore terzo che non garantisce la necessaria affidabilità, pur partecipando alla catena principale. La NIS2 responsabilizzerà anche le PMI che erano rimaste ben al di fuori della portata della NIS originale e che oggi potrebbero ritrovarsi coinvolte.
Lo studio si pone l’obiettivo di fornire le indicazioni necessarie per comprendere i principi essenziali della Direttiva NIS 2 e di fornire un focus in merito alla gestione degli incidenti di cybersecurity.
Indice dei capitoli
Introduzione
La Direttiva NIS 2 : struttura normativa; finalità, aspetti peculiari
• Riconsiderazione e ampliamento dell’ambito di applicazione delle norme in materia di sicurezza dei dati
• Potenziamento degli organi e delle attività di controllo e supervisione a livello comunitario, condivisione delle esperienze tra gli stati membri
• Razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria degli incidenti informatici
• Estensione dei concetti di gestione del rischio e di valutazione delle vulnerabilità a tutta la supply chain, coinvolgendo tutti o un maggior numero di stakeholder
• I cambiamenti dalla NIS alla NIS2 : superamento di alcune delle criticità che hanno contraddistinto il percorso di adozione della NIS di prima generazione; superamento della disomogeneità applicativa tra i vari paesi membri dell’Unione; le condizioni per una rete europea di organizzazioni finalizzata a condividere le informazioni sugli incidenti e favorire un’azione di intelligence impostata sulla collaborazione su larga scala
La Direttiva NIS2: le nuove misure di Sicurezza
• Overview di sintesi sull’insieme delle nuove misure di sicurezza introdotte dalla NIS 2
La Direttiva NIS2: focus sulla gestione degli incidenti di Cybersecurity
• Specificità della gestione degli incidenti di Cybersecurity nella Direttiva NIS 2 rispetto alla precedente direttiva NIS (sintesi di overview)
• Aspetti organizzativi (Ruoli e Responsabilità interne, esterne, autorità di coordinamento, etc), di processo (requisiti per la identification, prevention, detection, response, recovery) e tecnologici (misure tecnologiche di prevenzione, detection, log e allarmi, investigazione dell’incidente) rilevanti nella gestione degli incidenti di Cybersecurity nella NIS 2
• Comparazione con la gestione degli incidenti di Cybersecurity rispetto alle altre normative che impattano le infrastrutture critiche: lo studio individuerà le principali normative che regolamentano la gestione degli incidenti di cybersecurity e di Data Protection nel modo delle infrastrutture critiche e le metterà a confronto
• Sarà fornito anche un quadro di sintesi per facilitare l’immediata consultazione di cosa prevede ogni normativa analizzata riportando, per ciascuna normativa: i soggetti coinvolti nella gestione degli incidenti di Cybersecurity e i settori verticali di riferimento, l’ambito di rilevazione degli incidenti (supply chain, ambito sanitario, Dispositivi Tecnologici, Reti), la tassonomia degli incidenti, i criteri per la valutazione della gravità e delle priorità di intervento, le tempistiche per la notificazione, i soggetti a cui deve essere eseguita la notificazione, le modalità di esecuzione della notificazione, i contenuti della notificazione ed ogni altro elemento significativo per la gestione degli incidenti di Cybersecurity
Conclusioni
