Homepage
Torna alla panoramica

Direttiva NIS2

La direttiva NIS2 è una direttiva UE sulla cybersicurezza entrata in vigore nel gennaio 2023, che sostituisce la precedente direttiva NIS1 del 2016. Obbliga aziende e organizzazioni in settori critici e importanti a introdurre una gestione del rischio completa per le proprie infrastrutture IT, a segnalare gli incidenti di sicurezza e a rispettare requisiti minimi di cybersicurezza. Rispetto alla versione precedente, NIS2 amplia considerevolmente la platea delle organizzazioni interessate e prevede sanzioni significativamente più severe in caso di violazioni.

L'aspetto centrale della direttiva NIS2 è l'obbligo di gestione attiva del rischio. Le organizzazioni interessate devono non solo implementare misure di protezione tecniche, ma anche essere in grado di dimostrare che identificano, valutano e trattano sistematicamente i rischi di sicurezza. Ciò include misure per la protezione delle catene di fornitura, il controllo degli accessi, la crittografia e la protezione di dispositivi finali e reti.

Per aziende ed enti pubblici soggetti a NIS2, la direttiva significa soprattutto una cosa: la sicurezza IT, spesso gestita fino ad ora in modo informale, deve essere trasferita in processi strutturati e documentabili. In particolare, la gestione dei dispositivi mobili finali è al centro dell'attenzione, poiché smartphone, tablet e laptop vengono spesso utilizzati al di fuori di ambienti di rete protetti e rappresentano quindi un potenziale di attacco elevato che deve essere affrontato sul piano normativo.

Il valore aggiunto fondamentale di una gestione strutturata dei dispositivi finali nel contesto NIS2 risiede nella capacità di fornire prove. Le organizzazioni devono essere in grado di dimostrare, in caso di necessità, che i propri dispositivi erano configurati in modo conforme, mantenuti aggiornati e protetti da accessi non autorizzati. Una soluzione di gestione centralizzata fornisce esattamente questa documentazione in modo automatico e verificabile.

NIS2 pone requisiti tecnici e organizzativi concreti che possono essere soddisfatti in modo duraturo solo se i dispositivi finali vengono gestiti e protetti sistematicamente. Chi punta su un approccio conforme al GDPR e utilizzabile on-premises soddisfa al contempo i requisiti di sovranità digitale.