Con NIS2 le aziende che rientrano direttamente nel perimetro della normativa devono dimostrare di possedere la cosiddetta maturità informatica. Questo, nel concreto, si traduce in azioni, accorgimenti e attività tecniche che devono essere impostate e organizzate da chi di competenza.
E chi è la figura che in azienda fa da punto di riferimento sia internamente sia verso lo CSIRT (Computer Security Incident Response Team)?
Le figure chiave sono due:
- Il PUNTO DI CONTATTO è un soggetto che deve essere parte dell’organico dell’azienda (quindi mai un soggetto esterno!) al quale NON sono richieste competenze tecniche informatiche particolari.
- Il REFERENTE CSIRT, invece, deve avere competenze tecniche IT perché è la persona che, in caso di incidente IT, comunica direttamente con lo CSIRT. Questa figura NON deve essere necessariamente interna all’azienda. L’aspetto fondamentale è che possieda competenze IT: ecco perché molte aziende in perimetro NIS2 stanno nominando come referente CSIRT partner e fornitori IT esterni all’azienda su cui poter contare.
Il consiglio dello CSIRT è che le due figure non combacino, ma nel caso in cui la stessa persona assuma il ruolo di punto di contatto e di referente CSIRT sono necessari due vincoli:
a. la figura deve essere interna all’azienda e
b. deve avere competenze tecniche in ambito IT.
Core Up, in qualità di MSP (Managed Service Provider), può assumere il ruolo di REFERENTE CSIRT per le aziende in perimetro NIS2. A tal proposito vi ricordiamo una scadenza cruciale: il 31/12/2025 è il termine per la nomina del REFERENTE CSIRT tramite il portale ACN.
Core Up, assumendo il ruolo di REFERENTE CSIRT, potrà gestire le tempistiche di notifica e preparare le informazioni che serviranno per interfacciarci direttamente sia con il team aziendale sia con la squadra di Incident Response dello CSIRT. La tua azienda mantiene il controllo decisionale e tecnologico mentre noi coordiniamo le azioni NIS2 di incident reporting e ti aiutiamo a contenere i disagi e i problemi legati a un incidente IT e/o a un attacco hacker.
Cosa succede se non viene nominato il referente CSIRT entro il 31/12/2025?
Se non viene nominato il referente CSIRT entro il 31/12/2025, l’azienda soggetta a NIS2 risulta inadempiente rispetto agli obblighi previsti dalla direttiva.
Ecco cosa rischia se risulta inadempiente (e/o in caso di incidente IT e conseguenti accertamenti da parte degli organi competenti):
- Sanzioni economiche e amministrative: fino a 10 milioni di euro o al 2% del fatturato globale annuo per i soggetti essenziali e fino a 7 milioni di euro o l’1,4% del fatturato globale annuo per i soggetti importanti;
- Problemi legali;
- Danni reputazionali e perdita di fiducia in caso di incidente IT ed esfiltrazione di dati sensibili che coinvolgono partner, clienti e fornitori;
- Compromissione della sicurezza nella catena di approvvigionamento;
- Accertamento di una non conformità operativa che espone l’azienda a rischi futuri e la esclude da un canale diretto e qualificato con lo CSIRT Italia (Computer Security Incident Response Team).
La tua azienda ha già nominato il referente CSIRT?
Contattaci al più presto per informazioni sulle procedure NIS2 e per discutere della nomina del REFERENTE CSIRT.
T. 030.4194040