La Direttiva NIS2 introduce nuovi obblighi per le organizzazioni in quattro ambiti principali: gestione del rischio, responsabilità aziendale, obblighi di comunicazione e continuità del business.
Le organizzazioni devono ridurre i rischi informatici per conformarsi alla nuova direttiva. Tra i metodi da implementare ci sono la gestione degli incidenti, il miglioramento della sicurezza della supply chain, il potenziamento della sicurezza della rete, un migliore controllo degli accessi e la crittografia.
NIS2 prevede che il management aziendale supervisioni, approvi e riceva una formazione sulle procedure di sicurezza informatica dell'azienda e per affrontare i rischi informatici. In caso di violazioni i dirigenti possono incorrere in sanzioni tra cui la responsabilità anche di natura penale e l'esclusione temporanea dalle posizioni dirigenziali.
- Obblighi di comunicazione
I soggetti essenziali e cruciali devono disporre di sistemi per comunicare il prima possibile gli eventi di sicurezza che hanno un impatto rilevante sulla loro offerta di servizi o su chi li riceve. La NIS2 specifica i tempi di notifica, come ad esempio un "early warning" entro 24 ore.
Le organizzazioni devono pianificare come mantenere la continuità del business in caso di gravi incidenti informatici. Questa strategia deve considerare il ripristino del sistema, le procedure di emergenza e la creazione di un team di risposta alla crisi.