Procrastinare non è mai una soluzione: il 18 ottobre entra in vigore la NIS2 e con essa le multe che, in caso di mancata compliance, arrivano fino a 10 milioni di euro. Ma che cos’è di preciso la NIS2 e come fare a essere conformi?
Che cos’è la Direttiva NIS2
La Direttiva Europea 2022/2055, meglio conosciuta come NIS2, rappresenta un passo fondamentale verso il rafforzamento delle capacità di cybersicurezza delle organizzazioni all’interno dell’Unione Europea. Superando il precedente quadro normativo NIS1, questa nuova direttiva amplia il suo ambito di applicazione includendo una varietà di settori cruciali e stabilisce criteri dettagliati per una implementazione coerente tra i vari stati membri.
La normativa classifica le organizzazioni in due gruppi principali: soggetti importanti e soggetti essenziali. I soggetti importanti abbracciano settori vari come quelli dei servizi postali, della gestione dei rifiuti, dell’industria chimica e agroalimentare, oltre ai servizi digitali e altre aree vitali. Il gruppo dei soggetti essenziali comprende invece le istituzioni pubbliche e gli operatori attivi nei settori dell’energia, della sanità, dello spazio, del settore bancario e finanziario, dei trasporti, delle infrastrutture digitali e delle risorse idriche.
La Direttiva NIS2 impone rigide sanzioni per la non conformità, applicabili immediatamente ai soggetti essenziali e ex-post per i soggetti importanti, quest’ultimi soggetti a verifiche solo in caso ci sia evidenza di mancata compliance. Le penalità finanziarie variano significativamente: per i soggetti importanti, le multe possono raggiungere i 7 milioni di euro o l’1,4% del fatturato annuo globale, scegliendo il valore più alto. Per i soggetti essenziali, le sanzioni arrivano invece fino a 10 milioni di euro o al 2% del fatturato annuo globale e anche in questo caso prevale l’importo maggiore.
Per scaricare la Guida alla Conformità GDPR e NIS2 nel 2024 clicca qui.
Come fare a essere conformi
Per garantire la conformità alla Direttiva NIS2 gli enti coinvolti devono prima identificare servizi, processi e asset fondamentali e poi implementare misure di sicurezza appropriate, sia tecniche che gestionali. A differenza del GDPR, la NIS2 richiede specificamente l’adozione di:
- strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza
- politiche di analisi dei rischi e di sicurezza dei sistemi informatici
- sicurezza della catena di approvvigionamento
- continuità operativa e gestione delle crisi (backup e disaster recovery)
- gestione degli incidenti
- sicurezza delle risorse umane con strategie di controllo dell’accesso
- politiche e procedure relative all’uso della crittografia e della cifratura
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità
- uso di soluzioni di autenticazione a più fattori o autenticazione continua, di comunicazioni vocali, video e testuali protette
- pratiche di igiene informatica di base e formazione in materia di cybersicurezza
È inoltre obbligatorio sviluppare un piano di gestione degli incidenti che includa procedure di notifica alle autorità competenti.
Per scaricare la Guida alla Conformità GDPR e NIS2 nel 2024 clicca qui.
Cubbit: la soluzione facile è made in Italy
Una soluzione di cloud sovrano e compliant che si sta affermando in Italia e in Europa è Cubbit. Fondata nel 2016, l’azienda bolognese conta oltre 250 organizzazioni clienti tra cui il gigante della difesa Leonardo, il colosso della cybersecurity francese Exclusive Networks e diverse amministrazioni pubbliche.
Cubbit è pioniere di una cambio di paradigma nel cloud storage: è infatti il primo cloud geo-distribuito d’Europa. Al cloud tradizionale, che centralizza i dati in pochi data center vulnerabili, Cubbit contrappone il concetto di rete geo-distribuita. Ogni dato in Cubbit è cifrato, frammentato e replicato su più nodi all’interno di un singolo Paese a scelta dell’utente. Nessun dato è salvato integralmente in nessun luogo, la qual cosa elimina il rischio che il downtime di un singolo nodo impatti la disponibilità dei dati per l’utente.
Ecco perché Cubbit può vantare una durabilità dei dati fino a 15 9, una garanzia di sicurezza ben maggiore degli 11 9 offerti dall’industria del cloud tradizionale. Grazie al geofencing, gli utenti possono inoltre specificare esattamente dove i loro dati vengono archiviati, garantendo così la data residency entro i confini nazionali, un aspetto cruciale per rispettare la NIS2 e il GDPR.
Cubbit è inoltre soggetto a revisioni periodiche da parte di terze parti internazionali e ha ottenuto le certificazioni ISO 9001:2015 per i sistemi di gestione della qualità, ISO/IEC 27001:2013 per la sicurezza delle informazioni, ISO/IEC 27017:2015 per la sicurezza nel cloud, e ISO/IEC 27018:2019 per la privacy e la protezione dei dati personali nel cloud, oltre alla Cybersecurity Made in Europe Label. In aggiunta, Cubbit ha ricevuto la qualifica ACN (ex AgID) ed è abilitata sulla piattaforma MePa (Mercato Elettronico della Pubblica Amministrazione).
Per contrastare il cyber crimine, l’azienda ha implementato due funzionalità avanzate basate sullo standard S3: il versioning e l’object lock. Il versioning permette di conservare più versioni di un file, facilitando il ripristino di versioni non compromesse in caso di attacchi ransomware. L’object lock impedisce modifiche, cifrature o cancellazioni dei file, proteggendoli sia da attacchi ransomware che da errori umani. Queste tecnologie, insieme all’architettura geo-distribuita di Cubbit, offrono una difesa robusta contro il ransomware, garantendo la sicurezza e il recupero dei dati critici.
Cubbit offre grande flessibilità, essendo compatibile con qualsiasi client dell’ecosistema S3. Questo facilita la gestione dei dati e consente l’utilizzo di software esistenti per backup automatizzati off-site, cooperazione su macchine virtuali o sistemi NAS, e conservazione a lungo termine dei documenti in conformità con le leggi vigenti.
Per maggiori informazioni, visita il sito web.