L’adozione della Direttiva NIS 2 in Italia ha introdotto nuovi requisiti di sicurezza informatica per le aziende dei settori essenziali e critici. Questi obblighi coinvolgono direttamente gli Organismi di Vigilanza (OdV) delle imprese soggette al Decreto 231, richiedendo una gestione della cybersecurity strutturata e vigilata. Vediamo di seguito i compiti principali degli OdV per garantire conformità e sicurezza.
1. Vigilanza sugli Obblighi di Registrazione e Designazione dei Responsabili
Gli OdV dovranno assicurarsi che la società:
- Effettui la registrazione obbligatoria sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN) entro il 17 gennaio 2025 (specifico per data center, servizi cloud e piattaforme digitali).
- Nomini un Responsabile della Sicurezza Informatica (CISO) e un Responsabile degli Adempimenti per la conformità NIS 2 entro le scadenze, garantendo che tali figure siano in grado di monitorare le politiche di sicurezza e rispondere agli incidenti in modo adeguato.
2. Controllo della Gestione dei Rischi e delle Misure di Sicurezza
La Direttiva NIS 2 richiede un approccio di gestione integrata dei rischi che consideri tanto le minacce cyber quanto quelle fisiche. Gli OdV devono verificare che le aziende abbiano implementato misure adeguate, come:
- Piani di continuità operativa e disaster recovery per proteggere i sistemi critici e garantire la resilienza dei servizi.
- Protezione della supply chain: un monitoraggio continuo dei fornitori per valutare le loro pratiche di sicurezza.
- Autenticazione Multi-Fattore (MFA), crittografia e gestione delle vulnerabilità per minimizzare i rischi di attacchi.
3. Supervisione dei Piani di Notifica degli Incidenti
Uno dei compiti principali dell’OdV sarà quello di assicurarsi che siano predisposti piani per la tempestiva notifica di incidenti al CSIRT (Computer Security Incident Response Team) entro 24 ore dalla scoperta, con report completi entro 72 ore e aggiornamenti mensili fino alla risoluzione. Questo include anche incidenti “quasi” critici o significativi per la continuità aziendale, secondo quanto richiesto dalla normativa.
4. Formazione e Sensibilizzazione del Personale
È richiesto che l’azienda formi e sensibilizzi regolarmente il personale sulla sicurezza informatica. Gli OdV devono monitorare la partecipazione del personale a tali attività e accertarsi che ogni dipendente conosca il proprio ruolo nella protezione dei dati aziendali.
5. Audit e Aggiornamento del Modello 231
Infine, gli OdV devono pianificare audit periodici sulle misure di sicurezza adottate, assicurandosi che queste siano aggiornate in base alle normative NIS 2. Eventuali mancanze o vulnerabilità emerse dagli audit devono essere prontamente risolte con il supporto della direzione aziendale.
Conclusione
Con la Direttiva NIS 2, il ruolo degli OdV si espande includendo una sorveglianza attiva sulla sicurezza informatica dell’azienda, garantendo che la compliance alle nuove normative sia un pilastro della continuità operativa e della protezione dei dati.
Contatta il nostro studio per una consulenza specifica sull’adeguamento ai nuovi obblighi NIS 2 e sulla sorveglianza da parte degli OdV.
