Deep dive della NIS2, ma non troppo. Siamo veramente pronti?

È ormai prossima la scadenza imposta dalla direttiva NIS 2, acronimo di “Network and Information System”, ma che ufficialmente sarebbe la  “Direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l’Unione”, dove dovrà essere recepita e messa in pratica dagli Stati Membri. 

Quì il link alla direttiva completa: DIRETTIVA (UE) 2022/2555 

Nel dettaglio l’art. 41 (Recepimento) par.1 dice: “Entro il 17 ottobre 2024 gli Stati Membri adottano e pubblicano le misure necessarie per conformarsi alla presente direttiva. Essi comunicano immediatamente alla Commissione il testo di tali disposizioni. Essi applicano tali disposizioni a decorrere dal 18 ottobre 2024“.

Proviamo a rappresentare la NIS2 con 2 semplici infografiche:

  • la prima è una mappa concettuale che rappresenta gli obblighi della direttiva
  • la seconda è un percorso grafico che dovrebbe facilitare la lettura del testo della direttiva

Senza dubbio, gli attori coinvolti dovranno adottare le misure indicate dalla NIS2 entro quella data. 

Importante da notare che i concetti più o meno nuovi introdotti dalla NIS2, come  

  • Governance
  • Gestione dei rischi
  • Obblighi di segnalazione

sono molto familiari con la ISO/IEC 27001:2022. Le aziende che hanno già una certificazione di questo tipo, sono avvantaggiate sotto questo punto di vista.

Infatti, sono già in piedi i processi di governance per la valutazione dei rischi, la gestione, oltre che la continuità operativa e la risposta agli incidenti.

Tutto, ovviamente, sotto l’occhio attento della privacy. Infatti anche la NIS2 non risparmia questo argomento e dedica un articolo, art.35: “Violazioni che comportano una violazione dei dati personali“. 

È chiaro che la NIS2 non vuole certo calpestare i piedi alla privacy e quindi con l’articolo 35 fa proprio riferimento alla norma GDPR e gli obblighi di segnalazione qualora venga verificata una violazione dei dati personali.