Governance & Compliance
L’area Governance & Compliance di Cyber affianca le organizzazioni nella definizione di strategie di sicurezza evolute, nella strutturazione di modelli di governance efficaci e nella gestione integrata del rischio cyber. Favorisce l’adeguamento a normative complesse come NIS2, DORA, CRA e ai principali standard internazionali. Inoltre, progetta policy avanzate, modelli di controllo e meccanismi per valutare i rischi di cyber inclusi quelli associati alla supply chain digitale o alle nuove tecnologie (es. AI), promuovendo una cultura della sicurezza attraverso programmi mirati di formazione e consapevolezza.
NIS 2 | Uno sguardo verso la direttiva
La Direttiva NIS2, entrata in vigore a gennaio 2023, rappresenta un significativo passo avanti per migliorare la sicurezza e la resilienza informatica degli Stati Membri dell'Unione Europea. Questo nuovo quadro normativo introduce obblighi stringenti per le imprese, delineando un regime di supervisione e controllo più rigoroso rispetto alla precedente Direttiva NIS1.
In Italia, la Direttiva NIS2 è stata recepita con il Decreto Legislativo n. 138, pubblicato 4 settembre 2024. Il recepimento prevede l’ampliamento dell’ambito di applicazione della normativa, attraverso l’inclusione di nuovi settori e l’introduzione di obblighi specifici per le imprese. Tali obblighi riguardano l’adozione di misure di sicurezza, sia tecniche che organizzative, da parte di tutte le imprese di medie e grandi dimensioni operanti nei settori classificati come essenziali o importanti.
La Direttiva si applica a una vasta gamma di settori, tra cui energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, infrastrutture digitali, gestione dei servizi TIC, spazio, fornitori di servizi digitali, servizi postali, gestione dei rifiuti, ricerca e sostanze chimiche. Inoltre, include anche amministrazioni centrali, regionali e locali, e altri soggetti pubblici.
Tra i principali obblighi, la gestione del rischio Cyber, che richiede agli Organi di Amministrazione e Direttivi di
- definire una strategia di gestione del rischio Cyber per migliorare la sicurezza informatica;
- catalogare le attività svolte, comunicare e aggiornare l'elenco delle proprie attività e servizi;
- adottare misure tecniche, operative e organizzative per la gestione del rischio Cyber;
- valutare il livello di rischio Cyber dei propri fornitori per garantire la sicurezza della Supply Chain;
- notificare gli incidenti, che impone alle imprese di inviare un preallarme entro 24 ore dal verificarsi di incidenti significativi e una notifica completa entro 72 ore.
Il supporto di Deloitte
Deloitte ha consolidato una forte esperienza in progetti complessi di compliance normativa, supportando aziende nazionali e internazionali nell’adeguamento a direttive europee come la NIS2. La nostra offerta multidisciplinare copre IT, OT e IoT, affrontando sfide legate a trasformazione digitale e sicurezza.
Con un approccio strutturato, assistiamo i clienti dall’analisi iniziale (AS-IS) all’implementazione di modelli di governance efficaci, identificando l’ambito di applicazione della NIS2 tramite analisi dei dati e caratteristiche di business. Valutiamo la preparazione con un Readiness Assessment e definiamo piani operativi, supportando lo sviluppo di framework con ruoli e responsabilità chiari.
Guidiamo le organizzazioni nel colmare gap di sicurezza, rafforzare la resilienza degli asset critici e strutturare controlli e risposte agli incidenti, trasformando la conformità alla NIS2 in un’opportunità per migliorare la postura cyber e la capacità di risposta alle minacce.
Le ultime novità Governance & Compliance
