La nuova direttiva stabilisce misure volte a garantire un livello comune elevato di CYBERSICUREZZA nell’Unione Europea in modo da migliorare il funzionamento del mercato interno.

La Direttiva (UE) 2022/2555, entra in vigore il 17 gennaio 2023. Da tale data, gli Stati membri dell’Unione europea avranno a disposizione 21 mesi per adottare e pubblicare i relativi atti nazionali di recepimento.

AMBITO DI APPLICAZIONE

 

La presente direttiva si applica ai soggetti pubblici o privati rientranti nella categoria di media o grande impresa e delle tipologie di cui agli allegati I e II (per approfondimenti contattateci in privato) e che prestano i loro servizi o svolgono le loro attività all’interno dell’Unione Europea.

La presente direttiva si applica anche ai soggetti, indipendentemente dalle loro dimensioni, delle tipologie di cui all’allegato I o II (in fondo al documento) qualora abbiano determinati requisiti (contattateci in privato per approfondimenti).

OBBLIGHI SUPPLY CHAIN

 

Inoltre, la direttiva prevede che nell’analisi della adeguatezza delle misure di sicurezza si debba tener conto anche delle misure adottate dai fornitori delle società rientranti nell’ambito della Direttiva NIS2 (di cui sopra). Questo rappresenta un argomento di notevole rilievo già ad oggi per le aziende che sono fornitrici delle società rientranti nel perimetro di cui sopra perché gli obblighi in materia di cybersecurity si estendono indirettamente anche a loro.

LA GESTIONE DEL RISCHIO: LA NORMA ISO 27001

L’approccio risk-based si conferma requisito sistematico, strutturato e proattivo per la governance di un’organizzazione secondo ISO27001. Inoltre, il ciclo di pianificazione, preparazione, valutazione e decisione nel gestire gli incidenti di sicurezza delle informazioni, la prontezza dell’ICT per la continuità aziendale, il monitoraggio delle minacce (threat intelligence) e la segnalazione di eventi di sicurezza sono gli aspetti più innovativi previsti dal codice di pratica ISO 27002 e valutati in sede di certificazione di un’organizzazione.

Tali norme possono pertanto rappresentare un valido riferimento sul piano tecnico e metodologico per il percorso di adeguamento richiesto ai soggetti essenziali e importanti, ma anche per le eventuali garanzie di accountability esigibili dai soggetti coinvolti nelle loro supply chain.