Consulenza per la conformità alla normativa NIS (Network and Information Security)

Di cosa si tratta

Con il Decreto Legislativo 18 maggio 2018, n.65, l’Italia ha dato attuazione alla Direttiva 2016/1148, cd. Direttiva NIS (Network and Information Security), intesa a definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi. Il decreto si applica agli Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD). Gli OSE sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, energetico e relativo alla fornitura e distribuzione dell’acqua potabile, nei trasporti, nel settore bancario e delle infrastrutture dei mercati finanziari, e nel settore delle infrastrutture digitali. Gli FSD società che forniscono servizi di e-commerce, cloud computing e motori di ricerca, con più di 50 dipendenti e un fatturato o bilancio annuo superiore ai 10 milioni di Euro. Entro il 9 novembre 2018, le Autorità Competenti NIS (cioè i Ministeri competenti per settore) sono state tenute ad identificare più precisamente gli operatori da sottoporre agli adempimenti in materia NIS.

Gli OSE e gli FSD sono chiamati ad adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi e a prevenire e minimizzare l’impatto degli incidenti a carico della sicurezza delle reti e dei sistemi informativi ed hanno l’obbligo di notificare, senza ingiustificato ritardo, gli incidenti che hanno un impatto rilevante, rispettivamente sulla continuità e sulla fornitura del servizio, al Computer Security Incident Response Team (CSIRT) italiano.

In quest’ambito, ICT Cyber Consulting offre diversi servizi:

a. Identificazione delle misure tecniche ed organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che vengono utilizzati dai fornitori di servizi digitali e da parte degli operatori di servizi essenziali;

b. Identificazione e contestuale consulenza rispetto all’adozione di misure per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati dagli operatori di servizi digitali ed essenziali;

c. Predisposizione di procedure e policy prodromiche alla notifica senza indebito ritardo all’Autorità competente o al CSIRT – Italia di qualsiasi incidente avente un impatto sulla fornitura di un servizio digitale od occorso ad operatori di servizi essenziali, includendo le informazioni che possano agevolare l’identificazione dell’impatto transnazionale di tali eventi.