Nell’ultimo articolo abbiamo visto tutte le iniziative in atto per rafforzare le politiche in ambito di cybersecurity in Italia.
Cosa cambia invece a livello europeo? Il Parlamento Europeo il 10 novembre 2022 ha approvato la nuova normativa relativa al Network and Information Security, la cosiddetta Nis 2, in sostituzione della precedente Nis (Direttiva europea 2016/1148).
Con questa misura vengono rivisti i requisiti e le misure di sicurezza informatica, stabilendo regole minime e meccanismi atti a facilitare la cooperazione tra le autorità competenti degli Stati europei.
Con il Nis 2 vengono anche introdotte nuove misure per la gestione dei rischi cyber e diversi obblighi di comunicazione in tutti i settori critici (ad esempio per il settore energetico, sanitario e delle infrastrutture digitali).
Tra le novità c’è anche l’aggiornamento dell’elenco dei settori e delle attività soggette a tali obblighi in materia di cyber sicurezza. Se chiedete a noi tutte le attività dovrebbero prevedere misure adeguate in termini di cyber sicurezza ma almeno questo è un inizio.
In ogni caso tutte le imprese di medie e grandi dimensioni operanti nei settori designati dalla Nis 2 o che offrono servizi correlati dovranno rispettarne le normative in ambito cyber.
Eccezionalmente, la direttiva non verrà applicata a tutti gli enti che svolgono attività nei settori della difesa o della sicurezza nazionale, della pubblica sicurezza e delle forze dell’ordine, così come sono esclusi il potere giudiziario, legislativo e le banche centrali.
Una novità interessante ci sarà con il progetto EU-CyCLONe. Si tratta di una rete europea di organizzazioni di collegamento per le crisi informatiche che finalmente diventerà operativa per la gestione coordinata di crisi informatiche su larga scala.
Un’altra misura europea che sicuramente ricorderete è il Cyber Resilience Act, presentato dalla commissione europea a settembre del 2022. Con questa normativa si introducono requisiti obbligatori di cybersecurity per tutti i prodotti che presentano elementi digitali, a vantaggio di tutti i consumatori dell’UE. Questo per garantire lo sviluppo di prodotti sicuri dal momento dell’immissione nel mercato a tutto il ciclo di vita del prodotto in questione. Inoltre permetterà ai consumatori di essere più consapevoli del livello di sicurezza dei prodotti che acquistano, facendo la differenza nel momento della scelta e dell’utilizzo del prodotto digitale in questione. Detta in parole più semplici: i consumatori sapranno già nel momento dell’acquisto se un prodotto è sicuro oppure no. In pratica ci sarà una maggiore trasparenza in merito alle caratteristiche di sicurezza informatica dei prodotti.
Ultimo ma non per importanza c’è anche il progetto DORA, Digital Operational Resilience Act. Approvato nella sua versione provvisoria a Novembre dello scorso anno si tratta di una proposta della commissione europea volta a garantire al settore finanziario europeo la necessaria resilienza in caso di attacchi anche critici.
Verranno quindi introdotti requisiti minimi di sicurezza per le reti e per i sistemi informativi di aziende e organizzazioni attive nel settore finanziario e di aziende che forniscono servizi ICT, quali piattaforme cloud o servizi di analisi dei dati.
Come vedete le iniziative sono molte e sicuramente nel corso dei prossimi mesi ne vedremo di nuove.
La cybersecurity non è uno scherzo. Quelli che verranno introdotti sono standard minimi di sicurezza che dovrebbero già esistere da anni, ma come dicevamo all’inizio di questo articolo…meglio tardi che mai!
https://www.agendadigitale.eu/sicurezza/la-cyber-security-che-verra-levoluzione-normativa-in-italia-e-ue/