Il Parlamento ha approvato nuove leggi che rafforzano la sicurezza informatica dell’UE in settori chiave. Scoprite come vi proteggeranno.
Con la rapida espansione della digitalizzazione della vita quotidiana, ulteriormente accelerata dalla pandemia di Covid-19, la protezione contro le minacce informatiche è diventata essenziale per il corretto funzionamento della società.
Gli attacchi informatici possono rivelarsi molto costosi. Secondo la Commissione europea, si stima che il costo annuale della criminalità informatica per l’economia globale abbia raggiunto i 5,5 trilioni di euro entro la fine del 2020.
Nel novembre 2022, il Parlamento europeo ha aggiornato la legislazione dell’UE per promuovere gli investimenti in una forte sicurezza informatica per i servizi essenziali e le infrastrutture critiche e rafforzare le norme a livello dell’UE.
Il 22 novembre 2022 il Parlamento ha inoltre rafforzato la protezione delle infrastrutture essenziali dell’UE, comprese quelle digitali, approvando in via definitiva la legislazione che rende più rigorose le valutazioni dei rischi e i requisiti di segnalazione per le organizzazioni critiche in 11 settori essenziali.
Se ti interessa queto argomento scopri le previsioni dell’ cybercrime e della sicurezza informatica del 2023
Aumento degli obblighi di cybersicurezza – la direttiva NIS2
La direttiva sulla sicurezza delle reti e dell’informazione (NIS2) introduce nuove regole per promuovere un elevato livello comune di sicurezza informatica in tutta l’UE, sia per le aziende che per i Paesi. Inoltre, rafforza i requisiti di sicurezza informatica per le entità di medie e grandi dimensioni che operano e forniscono servizi in settori chiave.
Si tratta di un aggiornamento della direttiva NIS del 2016, che mira a migliorarne la chiarezza e l’attuazione, nonché ad affrontare i rapidi sviluppi in questo settore. Copre un numero maggiore di settori e attività rispetto al passato, semplifica gli obblighi di segnalazione e affronta il tema della sicurezza della catena di approvvigionamento.
Dopo l’approvazione del Parlamento e dei Paesi dell’UE in sede di Consiglio nel novembre 2022, gli Stati membri hanno 21 mesi di tempo per attuarla.
Altri settori inclusi
La nuova legge amplia l’ambito dei settori e delle attività critiche per l’economia e la società, tra cui l’energia, i trasporti, le banche, la sanità, le infrastrutture digitali, la pubblica amministrazione e lo spazio. Tuttavia, non copre la sicurezza nazionale e pubblica, le forze dell’ordine e il sistema giudiziario. La legge si applica alla pubblica amministrazione a livello centrale e regionale, ma non ai parlamenti e alle banche centrali.
Richiede a un maggior numero di enti e settori di adottare misure di gestione del rischio di cybersecurity, tra cui i fornitori di servizi pubblici di comunicazione elettronica, gli operatori di social media, i produttori di prodotti critici (compresi i dispositivi medici) e i servizi postali e di corriere.
Obblighi più severi per i Paesi
La legge stabilisce obblighi di sicurezza informatica più severi per i Paesi dell’UE in materia di vigilanza. Migliora l’applicazione di tali obblighi, anche armonizzando le sanzioni tra gli Stati membri. Inoltre, mira a migliorare la cooperazione tra i Paesi dell’UE, anche per quanto riguarda gli incidenti su larga scala, sotto l’egida dell’Agenzia dell’UE per la sicurezza informatica (Enisa).
Proteggere il sistema finanziario dell’UE – Dora
Poiché il settore finanziario dipende sempre più dal software e dai processi digitali, ha bisogno di una maggiore protezione. La legge sulla resilienza operativa digitale (Dora) garantirà che il settore finanziario dell’UE sia più resistente alle gravi interruzioni operative e agli attacchi informatici. Il Parlamento ha approvato in via definitiva la legislazione, precedentemente concordata con il Consiglio, il 10 novembre 2022.
La legge introduce e armonizza i requisiti di resilienza operativa digitale per il settore dei servizi finanziari dell’UE, obbligando le aziende a garantire la capacità di resistere, rispondere e riprendersi da tutti i tipi di interruzioni e minacce legate alle tecnologie dell’informazione e della comunicazione (TIC).
Le nuove regole si applicano a tutte le società che forniscono servizi finanziari, come banche, fornitori di pagamenti, fornitori di moneta elettronica, società di investimento, fornitori di servizi di cripto-asset, nonché ai fornitori terzi di servizi ICT critici.
Le autorità nazionali ne controlleranno e ne imporranno l’applicazione.
