La Direttiva NIS2 non impone solo obblighi tecnologici e organizzativi alle aziende, ma interviene direttamente sulla gestione delle risorse umane, dei dipendenti e dei collaboratori, riconoscendo che la sicurezza informatica non dipende solo da sistemi avanzati e firewall, ma anche e soprattutto dal fattore umano.

La Supply Chain 

La filiera interna di un’azienda rappresenta il punto di partenza per l’applicazione di misure di cybersecurity efficaci, poiché ogni lavoratore con accesso ai sistemi informativi può costituire sia un punto di forza sia una vulnerabilità. La regolamentazione introdotta con la NIS2 impone alle imprese di adottare una strategia strutturata per ridurre al minimo il rischio di attacchi informatici e violazioni dei dati, partendo proprio dalla gestione e formazione del personale.

Potrebbe interessarti > Impatto della Direttiva NIS2 sulla Supply Chain: come le PMI possono diventare partner affidabili

Un primo passo fondamentale è l’adozione di accorgimenti specifici per garantire che ogni dipendente e collaboratore abbia accesso solo alle risorse strettamente necessarie allo svolgimento delle proprie mansioni. Il principio del least privilege access prevede che i permessi siano concessi con il massimo livello di restrizione possibile, limitando l’accesso alle informazioni critiche ai soli soggetti autorizzati. Questa strategia riduce notevolmente i danni in caso di compromissione di un singolo account, prevenendo l’escalation di attacchi informatici all’interno dell’infrastruttura aziendale.

Un altro aspetto centrale è l’uso dei terminali e dei dispositivi aziendali. La NIS2 impone alle imprese di garantire che ogni strumento di lavoro, dai PC aziendali agli smartphone utilizzati per scopi professionali, sia protetto da adeguate misure di sicurezza. L’utilizzo di sistemi di autenticazione a più fattori (MFA), la cifratura dei dati e il monitoraggio continuo delle attività svolte sui terminali aziendali rappresentano requisiti imprescindibili per evitare fughe di informazioni e accessi non autorizzati.

Inoltre, è necessario prevedere linee guida chiare sull’uso dei dispositivi personali per scopi lavorativi, vietando o regolamentando con precisione il cosiddetto Bring Your Own Device (BYOD), che può rappresentare un rischio significativo per la sicurezza dell’azienda.

Per saperne di più > Zero Trust: una nuova prospettiva della data protection?

La regolamentazione della NIS2 impone anche una maggiore attenzione agli aspetti contrattuali e documentali, tra cui le lettere di incarico e le policy interne. Ogni dipendente o collaboratore che abbia accesso a dati sensibili o infrastrutture critiche deve sottoscrivere un accordo che delinei con precisione gli obblighi in materia di cybersecurity, le responsabilità individuali e le sanzioni previste in caso di negligenza o mancata osservanza delle misure di sicurezza. Le policy aziendali devono essere redatte con chiarezza e aggiornate periodicamente per riflettere le nuove minacce informatiche e gli adeguamenti normativi. I

In questo contesto, la formazione continua gioca un ruolo chiave: l’azienda deve organizzare corsi periodici di aggiornamento sulla sicurezza informatica, simulazioni di attacchi phishing e test di reazione a incidenti di cybersecurity per garantire che il personale sia sempre preparato ad affrontare le minacce più recenti.

Potrebbe interessarti > Errore umano e email ancora tra le prime cause di Data Breach

Uno degli aspetti più peculiari e molto poco considerati della gestione della sicurezza informatica riguarda le procedure da adottare alla cessazione del rapporto di lavoro. Quando un dipendente o collaboratore lascia l’azienda, è fondamentale revocare immediatamente ogni accesso ai sistemi informatici, recuperare eventuali dispositivi aziendali e verificare che non vi siano dati sensibili conservati su strumenti personali. Una procedura ben definita di offboarding riduce il rischio che un ex dipendente possa accidentalmente o volontariamente compromettere la sicurezza aziendale.

Questo processo dovrebbe includere non solo la disattivazione degli account, ma anche la revisione di eventuali autorizzazioni residue, la rimozione da mailing list interne e l’aggiornamento dei sistemi di monitoraggio per rilevare eventuali attività sospette successive alla cessazione del rapporto.

Conclusioni 

La NIS2 pone in evidenza come la sicurezza informatica non sia solo una questione tecnologica, ma un processo che coinvolge attivamente tutti i membri di un’organizzazione. La corretta gestione della filiera interna, attraverso l’adozione di misure preventive e reattive, rappresenta il modello applicativo più efficace per garantire la resilienza dell’impresa e la protezione dei dati in un panorama digitale sempre più complesso e minaccioso.

Per saperne di più sulla direttiva NIS2:

• Il Framework Legale di Conformità per la nis2: Un Passaggio Obbligato

   

• Due Diligence Legale e Legal Risk Management: Sicurezza Giuridica e NIS2