Il Parlamento ha approvato nuove norme che puntano a rafforzare la sicurezza informatica dell’UE nei settori chiave.
Con il dilagare della digitalizzazione nella vita quotidiana, accelerata ulteriormente dalla pandemia di Covid-19, la protezione dalle minacce informatiche è divenuta essenziale per il buon funzionamento della società.
I ciberattacchi possono avere un prezzo molto elevato. Secondo le stime della Commissione europea, i costi del cibercrimine per l’economia globale sarebbero destinati a raggiungere i 5,5 trilioni entro la fine del 2020.
Nel novembre 2022, il Parlamento europeo ha aggiornato la legislazione dell’UE per rafforzare gli investimenti nel miglioramento della cibersicurezza per i servizi essenziali, le infrastrutture critiche e per aumentare la portata delle norme a livello europeo.
Scoprite di più su come l’UE sta modulando la transizione digitale
Rafforzamento degli obblighi in materia di sicurezza informatica: la direttiva NIS 2
La direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS 2) introduce nuove regole finalizzate a promuovere un elevato livello di sicurezza informatica comune nell’UE, sia per le aziende che per gli Stati membri. Tali misure rafforzano inoltre i requisiti di sicurezza informatica per le entità di medie e grandi dimensioni che operano e forniscono servizi in settori chiave.
L’aggiornamento del 2016 sulla linea guida NIS mira a migliorare la portata della norma, la sua chiarezza e la risposta ai rapidi sviluppi di questo settore. Rispetto alla sua precedente versione, la nuova normativa copre più settori e attività, snellendo gli obblighi di segnalazione e affrontando il tema della sicurezza nella catena di approvvigionamento.
A seguito dell’approvazione da parte del Parlamento, il 10 novembre 2022, il provvedimento adesso attende il via libera definitivo del Consiglio, dopodiché gli Stati membri avranno 21 mesi per implementarlo.
Scoprite quali sono le principali ciberminacce e quelle emergenti
Gli altri settori interessati
La nuova norma amplia il campo di applicazione a settori e attività critiche per l’economia e la società. Tra i quali figurano energia, trasporti, banche, sanità, infrastrutture digitali, pubblica amministrazione e spazio. Questa disposizione non copre tuttavia la sicurezza nazionale e quella pubblica, le forze dell’ordine e il sistema giudiziario. La normativa riguarda la pubblica amministrazione sia a livello centrale che regionale, restano invece esclusi i parlamenti e alle banche centrali.
Fra le entità e i settori a cui si richiede l’adozione di misure di gestione del rischio di sicurezza informatica vi sono i fornitori di servizi pubblici di comunicazione elettronica, gli operatori dei social media, i fabbricanti di prodotti critici (compresi i dispositivi medici) e i servizi postali.
Obblighi più severi per gli Stati membri
Nel campo della sorveglianza, la normativa fissa obblighi di sicurezza informatica più severi per i paesi dell’UE. Cresce perntanto l’ambito di applicazione degli obblighi e in particolare modo l’armonizzazione delle sanzioni tra gli Stati membri. Tale misura punta altresì a migliorare la cooperazione tra i paesi dell’UE, anche in caso di incidenti su larga scala, sotto l’egida dell’Agenzia dell’UE per la sicurezza informatica (ENISA).
Protezione del sistema finanziario dell’UE – DORA
Poiché il settore finanziario si avvale sempre più affidamento di software e processi digitali, questo necessita anche di una maggiore protezione. L’atto sulla resilienza operativa digitale DORA (dall’inglese Digital Operational Resilience Act) garantirà una maggiore resilienza del settore finanziario dell’UE, in caso di gravi interruzioni operative e attacchi informatici. A seguito dell’approvazione con il Consiglio, il 10 novembre 2022 il Parlamento ha fornito la propria approvazione in via definitiva.
La normativa introduce e armonizza i requisiti di resilienza operativa digitale nel settore dei servizi finanziari dell’UE e richiede alle imprese la garanzia di saper di resistere, rispondere e riprendersi da tutti i tipi di interruzioni e minacce legate alle tecnologie dell’informazione e della comunicazione (TIC).
Le nuove regole si applicano a tutte le società che forniscono servizi finanziari, come banche, fornitori di servizi di a pagamento, fornitori di moneta elettronica, società di investimento, fornitori di servizi di criptovalute nonché ai fornitori di servizi ICT critici a terzi.
Le autorità nazionali provvederanno a supervisionare l’applicazione, garantendone l’attuazione.
Fonte: Parlamento europeo