news gennaio 2025
Nuovo servizio in collaborazione con Momit Srl CISO as a service
visita i servizi di MOMIT Srl
Con la collaborazione sempre più attiva ed efficace con Momit srl abbiamo la possibilità di offrire ai nostri clienti un servizio di CISO as a Service – per ulteriori informazioni contattaci
visita il la pagina dedicata al servizio CISO
Scadenze della Direttiva NIS2:
Come Prepararsi in Modo Efficace
La Direttiva NIS2 (Network and Information Security Directive 2) segna un passo significativo nel panorama della cybersecurity a livello europeo. Pensata per rafforzare la protezione delle infrastrutture critiche e migliorare la gestione degli incidenti di sicurezza, introduce una serie di nuovi requisiti che organizzazioni e Stati membri devono soddisfare entro scadenze specifiche. Ecco le tappe principali e delle azioni consigliate per affrontarle.
Le Date Cruciali della Direttiva NIS2
Entro il 28 febbraio 2025: Autovalutazione per verificare se si rientra tra i soggetti essenziali o importanti e registrazione sulla piattaforma ACN. A partire dal 1° dicembre 2024 fino al 28 febbraio 2025, i punti di contatto dovranno autenticarsi sul Portale ACN (Agenzia per la cybersicurezza nazionale), utilizzando le credenziali SPID. Durante questo periodo, gli utenti designati come punti di contatto dovranno compilare una dichiarazione tramite il Servizio NIS/Registrazione, assicurandosi che le informazioni fornite siano corrette e aggiornate.
In particolare, gli utenti dovranno:
- Indicare se il soggetto è parte di un gruppo di imprese e fornire il codice fiscale della capogruppo, se applicabile.
- Elencare le imprese collegate e fornire i relativi codici fiscali.
- Elencare i codici ATECO che descrivono l’attività del soggetto.
- Indicare le normative settoriali dell’Unione europea pertinenti.
- Fornire i valori del fatturato, del bilancio e il numero di dipendenti per determinare la categoria dell’impresa.
- Elencare le tipologie di soggetto a cui il soggetto è riconducibile.
Entro il 31 marzo 2025 l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute attraverso la piattaforma;
tra il 1° aprile 2025 e il 15 aprile 2025, l’ACN comunicherà ai soggetti interessati se sono stati inseriti tra l’elenco dei soggetti essenziali o importanti;
Entro il 15 aprile 2025: i soggetti che avranno ricevuto la comunicazione dovranno nominare con un apposito atto un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto.
Entro il 1 gennaio 2026: Adeguamento alle misure di gestione degli incidenti (art. 25) e aggiornamento annuale delle informazioni (art. 30).
Entro ottobre 2026: Adeguamento agli obblighi relativi a gestione dei rischi e misure di sicurezza (artt. 23, 24, 29).
Cosa Fare per Adeguarsi Alle Nuove Norme
Per evitare penalità e adempiere ai requisiti, è necessario agire il prima possibile.
Ecco un piano d’azione che può essere preso come base:
- Verifica dell’Ambito di Applicazione Un primo passo imprescindibile è confermare se la propria organizzazione è interessata dagli obblighi. La direttiva si applica a due principali macro-categorie: Enti essenziali, riguardanti settori quali energia, sanità, trasporti, distribuzione idrica e infrastrutture digitali ed Enti importanti, comprendenti operatori legati ai settori come i servizi postali, rifiuti industriali e altre attività strategiche
- Condurre una Valutazione Completa dei Rischi Occorre analizzare potenziali vulnerabilità e criticità dei propri sistemi e processi attraverso una valutazione strutturata del rischio informatico. Questo passaggio include l’esame dell’infrastruttura IT, delle reti utilizzate e delle procedure operative in essere.
- Adottare Misure di Protezione e Rilevazione Tra le disposizioni della direttiva figura l’obbligo di implementare procedure organizzative e strumenti tecnologici capaci di contenere eventuali minacce. Tra questi: – Sistemi di monitoraggio e controllo costante. – Piani dettagliati per affrontare situazioni di emergenza. – Programmi di formazione per aumentare la consapevolezza e l’abilità del personale in materia di sicurezza informatica.
- Identificare un Referente Interno per la Sicurezza Ogni ente coinvolto deve designare un responsabile per garantire il coordinamento delle politiche legate alla cybersecurity. In genere, tale ruolo viene svolto da una figura specializzata, come un Chief Information Security Officer (CISO) o equivalente.
- Strutturare un Piano per la Segnalazione degli Incidenti La notifica di eventi cyber rimane una priorità fondamentale prevista dalla NIS2. Di conseguenza, è necessario definire procedure rapide e sistematiche per comunicare eventuali violazioni di dati alle autorità competenti nei tempi previsti.
- Coinvolgere la Filiera Poiché la direttiva sottolinea l’importanza di una supply chain digitale sicura, è necessario valutare proattivamente la resilienza informatica dei propri fornitori e partner commerciali, assicurandosi che adottino standard adeguati.
Le scadenze delineate dalla Direttiva NIS2 rappresentano un’opportunità preziosa per rafforzare la protezione degli ecosistemi digitali europei, ma rispettarle richiederà interventi attenti e strategici. Investire del tempo in una preparazione strutturata non solo permetterà di evitare criticità normative, ma potrebbe anche tradursi in un miglioramento della competitività aziendaleLa Direttiva NIS2 (Network and Information Security Directive 2) segna un passo significativo nel panorama della cybersecurity a livello europeo. Pensata per rafforzare la protezione delle infrastrutture critiche e migliorare la gestione degli incidenti di sicurezza, introduce una serie di nuovi requisiti che organizzazioni e Stati membri devono soddisfare entro scadenze specifiche.
Se sei sotto attacco! non perdere neppure un minuto
Dal 1996 affianchiamo le aziende nelle loro attività garantendo la sicurezza delle informazioni
Considerando le informazioni il punto nevralgico delle aziende, lavoriamo con loro per essere sempre pronti ad affrontare le sfide quotidiane in un piano di miglioramento continuo applicando gli standards
- ISO/IEC 27001 Information Security Management System
- ISO 22301 Business Continuity Management System
- ISO/IEC 27701 Privacy Information Management System
- ISO/IEC 27017 Information Security for Cloud Services
- ISO/IEC 27018 Protection of PII in Public Clouds
- ISO 9001 Quality Management System
- ISO 14001Environmental Management
- ISO/IEC 20000-1 IT Service Management
- ISO 45001 Occupational Health and Safety Management
- ISO/IEC/IEEE 90003 Software Engineering Quality Management System
- ISO/IEC 42001Information technology AI Management system
CONSULENZA on line e on site
Partendo da un attenta analisi dei processi e mappatura delle interazione degli stessi, offriamo consulenze in questi ambiti
- Riorganizzazione o ottimizzazione dei processi aziendali
- Realizzazione di sistemi di gestione aziendale integrata Sistemi di gestione per la qualità ISO 9001 ambiente ISO 14001 e sicurezza dei lavoratori ISO 45001
- Sistemi di gestione per la sicurezza delle informazioni e IT ISO 27001- 27017 27018 -27701 ISO 20000 e business continuity ISO 22301
- Consulenza per innovation manager
- Sistemi di gestione basati sulla ISO 420001 Artificial intelligence Management system
FORMAZIONE on line e on site
Realizziamo progetti formativi, con percorsi didattici tematici a alta specializzazione e adattati alle esigenze di ogni singolo cliente
Eroghiamo tramite il nostro team corsi su:
- ISO 9001 quality management system
- ISO 27001 Information Security e le linee guida specifiche
- ISO 20000 Information technology Service management
- ISO 22301 Business continuity
- ISO 31000 e 31010 Risk Management
- ISO 42001 Artificial intelligence Management system
- UNI 11814 che definisce i requisiti delle figure professionali che operano nell’ambito della gestione dell’innovazione, cioè il Manager dell’innovazione, lo Specialista dell’innovazione e il Tecnico dell’innovazione.
contattaci per le tue necessità
AUDIT
Eroghiamo servizi di audit (seconda parte) secondo modelli internazionali di riferimento. per i seguenti schemi:
- ISO 9001
- ISO 14001
- ISO 45001
- Sistemi integrati
- ISO/IEC 27001 e linee guida
- ISO/IEC 20000
- ISO 22301
- GDPR
ed eseguiamo assessment completi collegati alle tematiche della sicurezza delle informazioni.
Siamo in grado di eseguire anche servizi di mistery audit, vulnerability assessment e penetration test (tecnologici e non) secondo standard internazionali di riferimento tramite i nostri partner.
Portfolio
ecco alcune delle attività che stiamo svolgendo