Requisiti di conformità per le infrastrutture critiche
Le aziende energetiche e i servizi pubblici sono classificati come operatori di servizi essenziali (OSE) ai sensi della Direttiva UE NIS2 — e sono pertanto soggetti a obblighi vincolanti in materia di gestione del rischio di cybersecurity, segnalazione degli incidenti e sicurezza della catena di fornitura. La non conformità comporta sanzioni amministrative fino a 10 milioni di euro o il 2% del fatturato globale ai sensi della NIS2.
Direttiva NIS2 — Obblighi principali
- Misure di gestione del rischio di cybersecurity proporzionate al rischio
- Segnalazione degli incidenti: incidenti significativi al CSIRT nazionale entro 24 ore, rapporto completo entro 72 ore
- Sicurezza della catena di fornitura — valutazione delle pratiche di sicurezza dei fornitori e dei prestatori di servizi
- Misure di continuità operativa — gestione dei backup, disaster recovery, gestione delle crisi
- Responsabilità dell'alta direzione — la NIS2 attribuisce esplicitamente ai dirigenti la responsabilità personale
Allineamento ISO 27001 e NIS2
La norma ISO 27001:2022 fornisce il framework più completo per soddisfare i requisiti di gestione del rischio di cybersecurity previsti dall'Articolo 21 della NIS2. Il programma di preparazione NIS2 di BALTUM mappa i controlli del Suo ISMS ISO 27001 rispetto agli obblighi NIS2 — identificando le lacune e fornendo una roadmap di remediation prioritizzata allineata alla scadenza di recepimento NIS2 del Suo Stato Membro.
Sicurezza OT e ICS
Le organizzazioni del settore energetico e dei servizi pubblici affrontano la sfida aggiuntiva della sicurezza della tecnologia operativa (OT) e dei sistemi di controllo industriale (ICS) — aree non completamente coperte dai framework focalizzati sull'IT. BALTUM collabora con auditor specializzati in OT per estendere l'ambito ISO 27001 includendo ambienti SCADA, DCS e ICS, con riferimento agli standard IEC 62443 ove applicabile.