Direttiva NIS2 e segnalazione volontaria della cybersecurity

La Direttiva NIS2 promuove la segnalazione volontaria delle informazioni sulla cybersecurity attraverso un approccio multifaccettato, che include la chiarificazione delle procedure di segnalazione, la garanzia della riservatezza e l’enfasi sui benefici della condivisione delle informazioni.

🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.

Direttiva NIS2: Disposizioni chiave che incoraggiano la segnalazione volontaria

• L’Articolo 30 della Direttiva NIS2 chiarisce che le entità possono volontariamente notificare ai CSIRT o alle autorità nazionali.
• Le notifiche possono riguardare incidenti significativi, minacce informatiche e quasi incidenti rilevati da entità essenziali e importanti.
• Anche le entità non soggette a obbligo di segnalazione possono comunicare gli stessi eventi, indipendentemente dall’ambito della Direttiva.
• La Direttiva prevede un processo per gestire le notifiche volontarie, simile a quello per le segnalazioni obbligatorie dell’Articolo 23.
• Gli Stati membri possono dare priorità alle segnalazioni obbligatorie rispetto a quelle volontarie.
• L’Articolo 91 chiarisce che la segnalazione volontaria non deve comportare obblighi aggiuntivi per l’entità.
• Questa disposizione riduce le preoccupazioni sulle possibili conseguenze negative della divulgazione di informazioni.
• L’Articolo 29 favorisce la condivisione volontaria delle informazioni tra entità.
• La Direttiva promuove la creazione di Accordi di Condivisione delle Informazioni sulla Cybersecurity.
• Gli accordi permettono di scambiare dati su minacce, quasi incidenti, vulnerabilità, tecniche di attacco e pratiche di sicurezza.
• La Direttiva incoraggia la formazione di comunità di condivisione nei settori essenziali e importanti.
• Gli Stati membri devono facilitare questi accordi con linee guida su operatività, contenuti e condizioni.
• Le entità essenziali e importanti devono notificare alle autorità la loro partecipazione agli accordi.
• Questo obbligo garantisce trasparenza e promuove la fiducia nel sistema di condivisione delle informazioni.
• ENISA supporta la condivisione con linee guida, scambio di best practice e assistenza nella creazione degli accordi.

Altri elementi a supporto della segnalazione volontaria

• La Direttiva promuove una cultura della cybersecurity, enfatizzando l’importanza della formazione e della sensibilizzazione. Richiede alle entità di fornire formazione sulla cybersecurity al proprio personale e le incoraggia ad estendere tale formazione a tutti i dipendenti.
• Stabilisce un quadro per la divulgazione coordinata delle vulnerabilità in tutta l’UE, invitando individui e organizzazioni a segnalare vulnerabilità nei prodotti e servizi ICT.
• La creazione di un database europeo delle vulnerabilità gestito da ENISA fornisce un repository centrale per le vulnerabilità note pubblicamente, migliorando la trasparenza e facilitando misure di sicurezza proattive.

Conclusione

Nel complesso, la Direttiva NIS2 incoraggia la segnalazione volontaria creando un ambiente sicuro e favorevole alla condivisione delle informazioni. Chiarisce i percorsi di segnalazione, garantisce la riservatezza e sottolinea i benefici collettivi derivanti dall’affrontare proattivamente le sfide della cybersecurity.