Criminalità informatica: le nuove misure dell'UE per rafforzare la cibersicurezza Il Parlamento ha approvato nuove norme che puntano a rafforzare la sicurezza informatica dell'UE nei settori chiave.
Criminalità informatica: le nuove misure dell'UE per rafforzare
la cibersicurezza
Il Parlamento ha approvato nuove norme che puntano a rafforzare
la sicurezza informatica dell'UE nei settori chiave.
Il
dilagare della digitalizzazione nella vita quotidiana, accelerata
ulteriormente dalla pandemia di
Covid-19, la protezione dalle minacce informatiche è divenuta
essenziale per il buon funzionamento della società. I ciberattacchi possono
avere un prezzo molto elevato. Secondo le stime
della Commissione europea, i costi del cibercrimine per
l'economia globale sarebbero destinati a raggiungere i 5,5 trilioni entro la
fine del 2020. Nel novembre 2022, il Parlamento europeo ha aggiornato la
legislazione dell'UE per rafforzare gli investimenti nel miglioramento della
cibersicurezza per i servizi essenziali e le infrastrutture critiche e per
aumentare le norme a livello dell'UE. Rafforzamento degli obblighi in
materia di sicurezza informatica:
la direttiva NIS 2 La direttiva sulla sicurezza
delle reti e dei sistemi informativi (NIS 2) introduce nuove regole finalizzate
a promuovere un elevato livello di sicurezza informatica comune nell'UE, sia
per le aziende che per i paesi. Tali misure rafforzano inoltre i requisiti di
sicurezza informatica per le entità di medie e grandi dimensioni che operano e
forniscono servizi in alcuni settori chiave. L'aggiornamento del 2016 sulla
linea guida NIS mira a migliorare la portata della norma la sua chiarezza oltre
che la sua attuazione, nonché a rispondere ai rapidi sviluppi
in questo settore. La nuova normativa copre più settori e
attività rispetto a quella precedente, snellendo gli obblighi di segnalazione e
affrontando la sicurezza della catena di approvvigionamento. A seguito
dell'approvazione del Parlamento il 10 novembre 2022, il provvedimento adesso
attende il via libera definitivo dei paesi dell'UE in Consiglio, dopodiché gli
Stati membri avranno 21 mesi per implementarlo.
Gli altri settori inclusi
La nuova legge amplia il campo di applicazione dei settori e
delle attività critiche per l'economia e la società, tra cui energia,
trasporti, banche, sanità, infrastrutture digitali, pubblica amministrazione e
spazio. Tuttavia, non copre la sicurezza nazionale e pubblica, le forze
dell'ordine o il sistema giudiziario. La legge viene applicata dalla pubblica amministrazione
sia a livello centrale che regionale, ma non si applica ai parlamenti e alle
banche centrali.
Questo richiede l'adozione di misure di gestione del rischio di
sicurezza informatica da parte di più entità e settori, fra cui i fornitori di
servizi pubblici di comunicazione elettronica, gli operatori dei social media,
i produttori di prodotti critici (compresi i dispositivi medici) e i servizi
postali.
Obblighi più severi per gli Stati membri
Nel campo della sorveglianza, la normativa fissa obblighi di
sicurezza informatica più severi per i paesi dell'UE. Aumenta l'ambito di
applicazione degli obblighi, in particolare armonizzando le sanzioni tra gli
Stati membri. Tale misura punta inoltre a migliorare la cooperazione tra i
paesi dell'UE, anche nei casi di incidenti su larga scala, sotto l'egida
dell'Agenzia dell'UE per la sicurezza informatica (ENISA). PROTEZIONE DEL
SISTEMA FINANZIARIO DELL'UE - DORA
Poiché il settore finanziario fa sempre più affidamento su
software e processi digitali, necessita anche di una maggiore protezione.
L'atto sulla resilienza operativa digitale
DORA (dall'inglese Digital Operational Resilience Act)
garantirà una maggiore resilienza del settore finanziario dell'UE in caso di
gravi interruzioni operative e attacchi informatici. A seguito
dell'approvazione col Consiglio, il 10 novembre 2022 il Parlamento ha fornito
la propria approvazione in via definitiva. La normativa introduce e armonizza i
requisiti di resilienza operativa digitale nel settore dei servizi finanziari dell'UE,
richiedendo alle imprese di garantire che possano resistere, rispondere e
riprendersi da tutti i tipi di interruzioni e minacce legate alle tecnologie
dell'informazione e della comunicazione (TIC). Le nuove regole si applicano a
tutte le società che forniscono servizi finanziari, come banche, fornitori di
servizi di pagamento, fornitori di moneta elettronica, società di investimento,
fornitori di servizi di criptovalute e fornitori di servizi. Le autorità
nazionali provvederanno a supervisionare, garantendo l'attuazione.
https://www.europarl.europa.eu/news/it/headlines/security/20221103STO48002/criminalita-informatica-nuovemisure-dell-ue-per-rafforzare-la-cibersicurezza
(Parlamento Europeo)
fonte:ANNO XXIV N. 44/22 16/11/2022