NIS Assessment - Direttiva NIS e Decreto legislativo sulla cybersecurity
Con il Decreto Legislativo sulla cybersecurity del 18 maggio 2018, n.65, pubblicato sulla Gazzetta Ufficiale n. 132 del 9 giugno 2018, l'Italia ha attuato la Direttiva (UE) 2016/1148, detta anche Direttiva NIS, intesa a definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi.
Il decreto si applica agli Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD). Gli OSE sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l'economia nei settori sanitario, dell'energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali. Gli FSD, invece, sono le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale. Sia gli "OSE" che gli "FSD":- sono chiamati ad adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi e a prevenire e minimizzare l’impatto degli incidenti a carico della sicurezza delle reti e dei sistemi informativi, al fine di assicurare la continuità del servizio.
- hanno l’obbligo di notificare, senza ingiustificato ritardo, gli incidenti che hanno un impatto rilevante (secondo le singole definizioni proprie del settore di riferimento), rispettivamente sulla continuità e sulla fornitura del servizio, al Computer Security Incident Response Team (CSIRT) italiano, informandone anche l’Autorità competente NIS di riferimento.
Quali sono i vantaggi di una verifica da parte di DNV?
Una verifica da parte di DNV è utile ad identificare i limiti dei programmi di sicurezza (cyber security) di un'organizzazione, supportarla nella prioritizzazione degli obiettivi e nel percorso intrapreso per ottenere una completa conformità alla normativa cogente, attraverso l'individuazione del livello di confomità corrente rispetto ai requisiti in atto e alle migliori best practices di settore. I principali benefici derivanti da valutazioni terze ed indipendenti aiutano le aziende a rispondere a questioni cruciali, riguardanti:- quali perdite possono essere catastrofiche per l'organizzazione;
- quanto tempo l’organizzazione può resistere;
- quali informazioni non possono finire in mani sbagliate;
- qual è il ruolo dell’organizzazione nel sistema socio-economico;
- quali danni causerebbe un grave disservizio da parte dell’organizzazione.
A quali tipologie di aziende si applica?
Gli ambiti di competenza sono:- Settore dell’energia – Sottosettori energia elettrica, gas e petrolio
- Settore delle infrastrutture digitali
- Servizi digitali
- Settore dei trasporti – Sottosettori trasporto aereo, trasporto ferroviario, trasporto per vie d’acqua e trasporto su strada
- Settore bancario
- Settore delle infrastrutture dei mercati finanziari
- Settore sanitario
- Settore della fornitura e distribuzione di acqua potabile
La metodologia di DNV
DNV mette a disposizione delle aziende la propria esperienza nel campo dell’analisi dei processi e del risk assessment per la garanzia del raggiungimento degli obiettivi di compliance attraverso un approccio metodologico che segue- Verifica e analisi dei principali asset e processi critici, sottostanti i servizi essenziali
- Verifica delle analisi del rischio (di processo, di outsourcing, IT, OT) per ogni processo/asset identificat
- Verifica della classificazione e mappatura dei rischi rilevati per valutarne il grado di coerenza rispetto all'esposizion
- Valutazione della Business Impact Analysis (focalizzata sulle conseguenze dei rischi a maggior valore
- Valutazione del piano degli interventi (action plan) di mitigazione dei risc
- Valutazione dei contenuti in ordine alle tabelle del Framework Nazionale previste per le specifiche Linee Guida degli OSE / FSD
