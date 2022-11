Il dilagare della digitalizzazione nella vita quotidiana, accelerata ulteriormente dalla pandemia di Covid-19, la protezione dalle minacce informatiche è divenuta essenziale per il buon funzionamento della società.

I ciberattacchi possono avere un prezzo molto elevato. Secondo le stime della Commissione europea, i costi del cibercrimine per l'economia globale sarebbero destinati a raggiungere i 5,5 trilioni entro la fine del 2020.

Nel novembre 2022, il Parlamento europeo ha aggiornato la legislazione dell'UE per rafforzare gli investimenti nel miglioramento della cibersicurezza per i servizi essenziali e le infrastrutture critiche e per aumentare le norme a livello dell'UE.









Rafforzamento degli obblighi in materia di sicurezza informatica: la direttiva NIS 2

La direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS 2) introduce nuove regole finalizzate a promuovere un elevato livello di sicurezza informatica comune nell'UE, sia per le aziende che per i paesi. Tali misure rafforzano inoltre i requisiti di sicurezza informatica per le entità di medie e grandi dimensioni che operano e forniscono servizi in alcuni settori chiave.

L'aggiornamento del 2016 sulla linea guida NIS mira a migliorare la portata della norma la sua chiarezza oltre che la sua attuazione, nonché a rispondere ai rapidi sviluppi in questo settore. La nuova normativa copre più settori e attività rispetto a quella precedente, snellendo gli obblighi di segnalazione e affrontando la sicurezza della catena di approvvigionamento.

A seguito dell'approvazione del Parlamento il 10 novembre 2022, il provvedimento adesso attende il via libera definitivo dei paesi dell'UE in Consiglio, dopodiché gli Stati membri avranno 21 mesi per implementarlo.

Gli altri settori inclusi

La nuova legge amplia il campo di applicazione dei settori e delle attività critiche per l'economia e la società, tra cui energia, trasporti, banche, sanità, infrastrutture digitali, pubblica amministrazione e spazio. Tuttavia, non copre la sicurezza nazionale e pubblica, le forze dell'ordine o il sistema giudiziario. La legge viene applicata dalla pubblica amministrazione sia a livello centrale che regionale, ma non si applica ai parlamenti e alle banche centrali.

Questo richiede l'adozione di misure di gestione del rischio di sicurezza informatica da parte di più entità e settori, fra cui i fornitori di servizi pubblici di comunicazione elettronica, gli operatori dei social media, i produttori di prodotti critici (compresi i dispositivi medici) e i servizi postali.







Obblighi più severi per gli Stati membri

Nel campo della sorveglianza, la normativa fissa obblighi di sicurezza informatica più severi per i paesi dell'UE. Aumenta l'ambito di applicazione degli obblighi, in particolare armonizzando le sanzioni tra gli Stati membri. Tale misura punta inoltre a migliorare la cooperazione tra i paesi dell'UE, anche nei casi di incidenti su larga scala, sotto l'egida dell'Agenzia dell'UE per la sicurezza informatica (ENISA).

Protezione del sistema finanziario dell'UE - DORA

Poiché il settore finanziario fa sempre più affidamento su software e processi digitali, necessita anche di una maggiore protezione. L'atto sulla resilienza operativa digitale

DORA (dall'inglese Digital Operational Resilience Act) garantirà una maggiore resilienza del settore finanziario dell'UE in caso di gravi interruzioni operative e attacchi informatici. A seguito dell'approvazione col Consiglio, il 10 novembre 2022 il Parlamento ha fornito la propria approvazione in via definitiva.

La normativa introduce e armonizza i requisiti di resilienza operativa digitale nel settore dei servizi finanziari dell'UE, richiedendo alle imprese di garantire che possano resistere, rispondere e riprendersi da tutti i tipi di interruzioni e minacce legate alle tecnologie dell'informazione e della comunicazione (TIC).

Le nuove regole si applicano a tutte le società che forniscono servizi finanziari, come banche, fornitori di servizi di pagamento, fornitori di moneta elettronica, società di investimento, fornitori di servizi di criptovalute e fornitori di servizi. Le autorità nazionali provvederanno a supervisionare, garantendo l'attuazione.

