Criminalità informatica: le nuove misure dell'UE per rafforzare la cibersicurezza
Il Parlamento ha approvato nuove norme che puntano a rafforzare la sicurezza informatica dell'UE nei settori chiave. Scoprite quale protezione offriranno.
Con il dilagare della digitalizzazione nella vita quotidiana, accelerata ulteriormente dalla pandemia di Covid-19, la protezione dalle minacce informatiche è divenuta essenziale per il buon funzionamento della società.
I ciberattacchi possono avere un prezzo molto elevato. Secondo le stime della Commissione europea, i costi del cibercrimine per l'economia globale sarebbero destinati a raggiungere i 5,5 trilioni entro la fine del 2020.
Nel novembre 2022, il Parlamento europeo ha aggiornato la legislazione dell'UE per rafforzare gli investimenti nel miglioramento della cibersicurezza per i servizi essenziali, le infrastrutture critiche e per aumentare la portata delle norme a livello europeo. Il 22 novembre il Parlamento ha incrementato la protezione dell'UE sulle infrastrutture critiche, ivi comprese quelle digitali. La nuova legislazione approvata, interessa 11 settori e inasprisce i criteri di valutazione del rischio e gli obblighi di segnalazione per gli attori pubblici.
Scoprite di più su come l'UE sta modulando la transizione digitale
Rafforzamento degli obblighi in materia di sicurezza informatica: la direttiva NIS 2
La direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS 2) introduce nuove regole finalizzate a promuovere un elevato livello di sicurezza informatica comune nell'UE, sia per le aziende che per gli Stati membri. Tali misure rafforzano inoltre i requisiti di sicurezza informatica per le entità di medie e grandi dimensioni che operano e forniscono servizi in settori chiave.
L'aggiornamento del 2016 sulla linea guida NIS mira a migliorare la portata della norma, la sua chiarezza e la risposta ai rapidi sviluppi di questo settore. Rispetto alla sua precedente versione, la nuova normativa copre più settori e attività, snellendo gli obblighi di segnalazione e affrontando il tema della sicurezza nella catena di approvvigionamento.
Scoprite quali sono le ciberminacce principali e quelle emergenti
Rafforzare la sicurezza dei prodotti digitali: Regolamento sulla ciberresilienza
Sempre più prodotti di uso quotidiano hanno una componente digitale (ad esempio baby monitor, campanelli connessi o router Wi-Fi), che li rende vulnerabili agli attacchi informatici. Per garantire che siano sicuri, il Parlamento ha approvato il Regolamento sulla cybersicurezza, che fornisce una serie uniforme di requisiti obbligatori di sicurezza informatica a livello europeo per i prodotti connessi a un altro dispositivo o rete. Durante i negoziati sulla veste finale del regolamento con i paesi dell’UE in sede di Consiglio, gli eurodeputati hanno cercato di ampliare l'elenco dei sistemi e dei prodotti che dovranno soddisfare requisiti di sicurezza più severi che includono telecamere di sicurezza privata e baby monitors (dispositivi che permette di monitorare i neonati) con assistenti domestici intelligenti, orologi intelligenti e giocattoli intelligenti. Gli aggiornamenti di sicurezza verranno installati automaticamente e separatamente dagli aggiornamenti funzionali.
Gli altri settori interessati
La nuova norma amplia il campo di applicazione a settori e attività critiche per l'economia e la società. Tra i quali figurano energia, trasporti, banche, sanità, infrastrutture digitali, pubblica amministrazione e spazio. Questa disposizione non copre tuttavia la sicurezza nazionale e quella pubblica, le forze dell'ordine e il sistema giudiziario. La normativa riguarda la pubblica amministrazione sia a livello centrale che regionale, restano invece esclusi i parlamenti e alle banche centrali.
Fra le entità e i settori a cui si richiede l'adozione di misure di gestione del rischio di sicurezza informatica vi sono i fornitori di servizi pubblici di comunicazione elettronica, gli operatori dei social media, i fabbricanti di prodotti critici (compresi i dispositivi medici) e i servizi postali.
Obblighi più severi per gli Stati membri
Nel campo della sorveglianza, la normativa fissa obblighi di sicurezza informatica più severi per i paesi dell'UE. Cresce perntanto l'ambito di applicazione degli obblighi e in particolare modo l'armonizzazione delle sanzioni tra gli Stati membri. Tale misura punta altresì a migliorare la cooperazione tra i paesi dell'UE, anche in caso di incidenti su larga scala, sotto l'egida dell'Agenzia dell'UE per la sicurezza informatica (ENISA).
Protezione del sistema finanziario dell'UE - DORA
Poiché il settore finanziario si avvale sempre più affidamento di software e processi digitali, questo necessita anche di una maggiore protezione. L'atto sulla resilienza operativa digitale DORA (dall'inglese Digital Operational Resilience Act) garantirà una maggiore resilienza del settore finanziario dell'UE, in caso di gravi interruzioni operative e attacchi informatici. A seguito dell'approvazione con il Consiglio, il 10 novembre 2022 il Parlamento ha fornito la propria approvazione in via definitiva. Sembre a proposito di finanza digitale, il 28 novembre 2022 il Consiglio ha adottato l'atto sulla resilienza operativa digitale.
La normativa introduce e armonizza i requisiti di resilienza operativa digitale nel settore dei servizi finanziari dell'UE e richiede alle imprese la garanzia di saper di resistere, rispondere e riprendersi da tutti i tipi di interruzioni e minacce legate alle tecnologie dell'informazione e della comunicazione (TIC).
Le nuove regole si applicano a tutte le società che forniscono servizi finanziari, come banche, fornitori di servizi di a pagamento, fornitori di moneta elettronica, società di investimento, fornitori di servizi di criptovalute nonché ai fornitori di servizi ICT critici a terzi.
Le autorità nazionali provvederanno a supervisionare l'applicazione, garantendone l'attuazione.
Scoprite di più su come l'UE sta definendo la trasformazione digitale