La Direttiva NIS2 promuove la segnalazione volontaria delle informazioni sulla cybersecurity attraverso un approccio multifacetato, che include la chiarificazione delle procedure di segnalazione, la garanzia della riservatezza e l’enfasi sui benefici della condivisione delle informazioni.
đź”´ NIS2: sei conforme? Non rischiare sanzioni o vulnerabilitĂ . Adegua subito la tua azienda con il supporto dei nostri esperti.Disposizioni chiave che incoraggiano la segnalazione volontaria
- Articolo 30 della Direttiva NIS2 specifica chiaramente che le entitĂ possono volontariamente inviare notifiche ai CSIRT (Computer Security Incident Response Team) o alle autoritĂ nazionali competenti riguardo a:
- Incidenti significativi, minacce informatiche e quasi incidenti (near misses) sperimentati dalle entitĂ essenziali e importanti.
- Incidenti significativi, minacce informatiche e quasi incidenti riscontrati da entitĂ al di fuori dell’ambito di segnalazione obbligatoria, indipendentemente dal fatto che rientrino o meno nel campo di applicazione della Direttiva.
- La Direttiva definisce un processo per la gestione delle notifiche volontarie che rispecchia la procedura prevista per la segnalazione obbligatoria degli incidenti dettagliata nell’Articolo 23. Tuttavia, permette agli Stati membri di dare prioritĂ alle segnalazioni obbligatorie rispetto a quelle volontarie.
- Articolo 91 sottolinea che la segnalazione volontaria non deve comportare obblighi aggiuntivi per l’entitĂ che effettua la segnalazione rispetto a quelli che avrebbe affrontato se non avesse comunicato tali informazioni. Questa disposizione mira a ridurre le preoccupazioni relative alle possibili conseguenze negative associate alla divulgazione volontaria di informazioni sulla cybersecurity.
- Articolo 29 della Direttiva NIS2 si concentra sul facilitare la condivisione volontaria delle informazioni tra le entitĂ , evidenziando l’importanza di stabilire Accordi di Condivisione delle Informazioni sulla Cybersecurity.
- Questi accordi permettono alle entitĂ di scambiarsi informazioni rilevanti sulla cybersecurity, come dettagli su minacce informatiche, quasi incidenti, vulnerabilitĂ , tecniche di attacco e migliori pratiche di sicurezza.
- La Direttiva incoraggia le entitĂ a formare comunitĂ per la condivisione delle informazioni, in particolare nei settori essenziali e importanti, al fine di migliorare collettivamente la propria postura di sicurezza.
- Invita gli Stati membri a facilitare attivamente l’istituzione di questi accordi e fornisce linee guida sugli aspetti operativi, sui contenuti e sulle condizioni.
- La Direttiva richiede che le entitĂ essenziali e importanti notifichino le autoritĂ competenti della loro partecipazione agli Accordi di Condivisione delle Informazioni sulla Cybersecurity, al fine di garantire trasparenza e promuovere la fiducia nell’ecosistema di condivisione delle informazioni.
- ENISA (Agenzia dell’Unione Europea per la Cybersecurity) svolge un ruolo cruciale nel supportare la condivisione volontaria delle informazioni, fornendo linee guida, facilitando lo scambio delle migliori pratiche e offrendo assistenza nella creazione di accordi di condivisione.
Altri elementi a supporto della segnalazione volontaria
- La Direttiva promuove una cultura della cybersecurity, enfatizzando l’importanza della formazione e della sensibilizzazione. Richiede alle entitĂ di fornire formazione sulla cybersecurity al proprio personale e le incoraggia ad estendere tale formazione a tutti i dipendenti.
- Stabilisce un quadro per la divulgazione coordinata delle vulnerabilitĂ in tutta l’UE, invitando individui e organizzazioni a segnalare vulnerabilitĂ nei prodotti e servizi ICT.
- La creazione di un database europeo delle vulnerabilitĂ gestito da ENISA fornisce un repository centrale per le vulnerabilitĂ note pubblicamente, migliorando la trasparenza e facilitando misure di sicurezza proattive.
Conclusione
Nel complesso, la Direttiva NIS2 incoraggia la segnalazione volontaria creando un ambiente sicuro e favorevole alla condivisione delle informazioni. Chiarisce i percorsi di segnalazione, garantisce la riservatezza e sottolinea i benefici collettivi derivanti dall’affrontare proattivamente le sfide della cybersecurity.
Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.