L’Agenzia europea per la cybersicurezza ha pubblicato una guida tecnica che fornisce orientamenti tecnici a sostegno dell’attuazione della direttiva NIS2
Le linee guida, rivolte particolarmente a soggetti nei settori dell’infrastruttura digitale, della gestione dei servizi TIC e dei fornitori digitali – forniscono:
- indicazioni, cioè consigli indicativi e praticabili sui parametri da considerare quando si attua un requisito;
- esempi di prove, cioè i tipi di prove che un requisito è in vigore;
- mappature dai requisiti di sicurezza alle migliori pratiche del settore, agli standard europei e internazionali, e ai quadri nazionali.
Il documento – non giuridicamente vincolante, ma ha solo carattere consultivo – tratta i seguenti requisiti tecnici e metodologici:
- politica di sicurezza delle reti e dei sistemi informativi,
- politica di gestione dei rischi,
- gestione degli incidenti,
- continuità operativa e gestione della crisi,
- sicurezza della catena di approvvigionamento,
- sicurezza nell’acquisizione, sviluppo e manutenzione delle reti e dei sistemi informativi,
- politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi informatici,
- pratiche di base di igiene informatica e formazione sulla sicurezza,
- crittografia,
- sicurezza delle risorse umane,
- controllo degli accessi,
- gestione delle risorse,
- sicurezza ambientale e fisica.
Per approfondire: Guida all’implementazione tecnica NIS2 | ENISA