Il Parlamento Europeo ha recentemente approvato nuove norme che puntano a rafforzare la sicurezza informatica dell'UE nei settori chiave. Vediamo le principali.
Con il dilagare della digitalizzazione nella vita quotidiana, accelerata ulteriormente dalla pandemia di Covid-19, la protezione dalle minacce informatiche è divenuta essenziale per il buon funzionamento della società. Come sappiamo, i cyberattacchi possono avere un prezzo molto elevato. Secondo le stime della Commissione europea, infatti, i costi del cybercrimine per l'economia globale sarebbero destinati a raggiungere i 5,5 trilioni entro la fine del decennio del 2020.
Nel novembre 2022, il Parlamento europeo ha aggiornato la legislazione dell'UE per rafforzare gli investimenti nel miglioramento della cybersicurezza per i servizi essenziali, le infrastrutture critiche e per aumentare la portata delle norme a livello europeo. Il 22 novembre il Parlamento ha incrementato la protezione dell'UE sulle infrastrutture critiche, ivi comprese quelle digitali. La nuova legislazione approvata interessa 11 settori e inasprisce i criteri di valutazione del rischio e gli obblighi di segnalazione per gli attori pubblici.
Rafforzamento degli obblighi in materia di sicurezza informatica: la direttiva NIS 2
La direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS 2) introduce nuove regole finalizzate a promuovere un elevato livello di sicurezza informatica comune nell'UE, sia per le aziende che per gli Stati membri. Tali misure rafforzano inoltre i requisiti di sicurezza informatica per le entità di medie e grandi dimensioni che operano e forniscono servizi in settori chiave.
L'aggiornamento del 2016 sulla linea guida NIS mira a migliorare la portata della norma, la sua chiarezza e la risposta ai rapidi sviluppi di questo settore. Rispetto alla sua precedente versione, la nuova normativa copre più settori e attività, snellendo gli obblighi di segnalazione e affrontando il tema della sicurezza nella catena di approvvigionamento.
A seguito dell'approvazione da parte del Parlamento europeo e dei Paesi UE nel novembre 2022, adesso gli Stati membri avranno 21 mesi per implementarlo.
Rafforzare la sicurezza dei prodotti digitali: il Cyber Resilience Act
Sempre più prodotti di uso quotidiano hanno una componente digitale (ad esempio baby monitor, campanelli connessi o router Wi-Fi), che li rende vulnerabili agli attacchi informatici. Per garantire che siano sicuri, l’UE sta lavorando al Cyber Resilience Act, che fornirà una serie uniforme di requisiti obbligatori di sicurezza informatica a livello europeo per i prodotti connessi a un altro dispositivo o rete.
Il Parlamento ha concordato la sua posizione nel settembre 2023 ed è pronto ad avviare i negoziati sulla forma finale della legge con i paesi dell’UE in sede di Consiglio. I deputati propongono di ampliare l'elenco dei sistemi e dei prodotti che dovranno soddisfare requisiti di sicurezza più severi, ad esempio browser e gestori di password, con assistenti domestici intelligenti, orologi intelligenti e giocattoli intelligenti. I deputati vogliono inoltre che gli aggiornamenti di sicurezza vengano installati automaticamente e separatamente dagli aggiornamenti funzionali.
Gli altri settori interessati
La nuova norma amplia il campo di applicazione a settori e attività critiche per l'economia e la società. Tra i quali figurano energia, trasporti, banche, sanità, infrastrutture digitali, pubblica amministrazione e spazio. Questa disposizione non copre tuttavia la sicurezza nazionale e quella pubblica, le forze dell'ordine e il sistema giudiziario. La normativa riguarda la pubblica amministrazione sia a livello centrale che regionale, restano invece esclusi i parlamenti e alle banche centrali.
Fra le entità e i settori a cui si richiede l'adozione di misure di gestione del rischio di sicurezza informatica vi sono i fornitori di servizi pubblici di comunicazione elettronica, gli operatori dei social media, i fabbricanti di prodotti critici (compresi i dispositivi medici) e i servizi postali.
Obblighi più severi per gli Stati membri
Nel campo della sorveglianza, la normativa fissa obblighi di sicurezza informatica più severi per i paesi dell'UE. Cresce pertanto l'ambito di applicazione degli obblighi e in particolare modo l'armonizzazione delle sanzioni tra gli Stati membri. Tale misura punta altresì a migliorare la cooperazione tra i paesi dell'UE, anche in caso di incidenti su larga scala, sotto l'egida dell'Agenzia dell'UE per la sicurezza informatica (ENISA).
Protezione del sistema finanziario dell'UE - DORA
Poiché il settore finanziario si avvale sempre più affidamento di software e processi digitali, anche questo necessita anche di una maggiore protezione. L'atto sulla resilienza operativa digitale DORA (dall'inglese Digital Operational Resilience Act) garantirà una maggiore resilienza del settore finanziario dell'UE, in caso di gravi interruzioni operative e attacchi informatici. A seguito dell'approvazione con il Consiglio, il 10 novembre 2022 il Parlamento ha fornito la propria approvazione in via definitiva. Sembre a proposito di finanza digitale, il 28 novembre 2022 il Consiglio ha adottato l'atto sulla resilienza operativa digitale.
La normativa introduce e armonizza i requisiti di resilienza operativa digitale nel settore dei servizi finanziari dell'UE e richiede alle imprese la garanzia di saper di resistere, rispondere e riprendersi da tutti i tipi di interruzioni e minacce legate alle tecnologie dell'informazione e della comunicazione (TIC).
Le nuove regole si applicano a tutte le società che forniscono servizi finanziari, come banche, fornitori di servizi di a pagamento, fornitori di moneta elettronica, società di investimento, fornitori di servizi di criptovalute nonché ai fornitori di servizi ICT critici a terzi.
Le autorità nazionali provvederanno a supervisionare l'applicazione, garantendone l'attuazione.
