La Commissione ha adottato le prime norme di attuazione sulla sicurezza informatica di entità e reti critiche, ai sensi della direttiva sulle misure, che possono garantire un elevato livello comune di sicurezza informatica nell’Unione (direttiva NIS2).
Questa iniziativa attuativa specifica le misure di gestione del rischio di sicurezza informatica, nonché i casi in cui un incidente dovrebbe essere considerato significativo e, di conseguenza, le aziende che gestiscono infrastrutture e servizi digitali dovrebbero segnalarlo alle autorità nazionali. Si tratta di un altro passo importante per rafforzare la resilienza informatica delle infrastrutture digitali critiche dell’Europa.
Il regolamento di attuazione adottato oggi si applicherà a categorie specifiche di aziende, che forniscono servizi digitali, come i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i marketplace online, i motori di ricerca online e le piattaforme di social network, per citarne alcuni. Per ciascuna categoria di fornitori di servizi, l’atto di attuazione specifica anche quando un incidente è considerato significativo, deve pertanto essere segnalato alle autorità nazionali.
L’adozione odierna del regolamento attuativo coincide con la scadenza, per gli Stati membri, per recepire la direttiva NIS2 nel diritto nazionale. Con l’occasione, ricordiamo ai lettori che mentre una direttiva deve essere recepita con una disposizione legislativa nazionale, un regolamento non ha bisogno di questo intervento legislativo.
A partire dal 18 ottobre 2024, tutti gli Stati membri devono applicare le misure necessarie per conformarsi alle norme sulla sicurezza informatica NIS2, comprese le misure di vigilanza e di esecuzione.
In Italia, lo scorso 7 agosto 2024 il Consiglio dei ministri ha approvato, in esame definitivo, il decreto legislativo n. 138 del 4 settembre, adesso pubblicato sulla Gazzetta Ufficiale n. 230 del 1° ottobre 2024, di recepimento della direttiva (UE) 2022/2555 – la Direttiva NIS2 – relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.
Le aziende potenzialmente coinvolte devono dapprima effettuare una auto-valutazione, per verificare se esse rientrano nell’ambito di applicazione del Decreto Legislativo. In caso di risposta affermativa o di dubbio, essi debbono registrarsi sulla piattaforma digitale, resa disponibile dall’Agenzia Nazionale per la Cybersicurezza (l’“ACN”). Sarà l’ACN a comunicare ai soggetti registrati il rientro, o meno, nell’ambito di applicazione delle nuove regole.
Breve storia delle iniziative di sicurezza informatica, a livello europeo
La prima legge sulla sicurezza informatica, a livello dell’UE, vale a dire la direttiva NIS, è entrata in vigore nel 2016 ed ha contribuito a raggiungere un livello comune di sicurezza delle reti e dei sistemi informativi in tutta l’UE. Come parte del suo obiettivo politico chiave, vale a dire rendere l’Europa adatta ad affrontare l’era digitale, la Commissione ha proposto, a dicembre 2020, la revisione della direttiva NIS. Dopo l’entrata in vigore, a gennaio 2023, gli Stati membri hanno dovuto recepire la direttiva NIS2 nel diritto nazionale entro il 17 ottobre 2024. La direttiva NIS2 mira a garantire un elevato livello di sicurezza informatica in tutta l’Unione. Copre entità che operano in settori critici per l’economia e la società, tra cui fornitori di servizi di comunicazioni elettroniche pubbliche, gestione dei servizi ICT, servizi digitali, gestione delle acque reflue e dei rifiuti, spazio, salute, energia, trasporti, produzione di prodotti critici, servizi postali e di corriere e pubblica amministrazione. La direttiva:
- rafforza i requisiti di sicurezza imposti alle aziende,
- affronta la sicurezza delle catene di fornitura e delle relazioni con i fornitori,
- semplifica gli obblighi di segnalazione,
- introduce misure di vigilanza più severe per le autorità nazionali, nonché requisiti di applicazione più severi,
- mira ad armonizzare i regimi sanzionatori tra gli Stati membri,
- contribuirà ad aumentare la condivisione delle informazioni e la cooperazione nella gestione delle crisi informatiche a livello nazionale e dell’UE.
Adalberto Biasiotti
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
Informativa sui diritti di autore
La legge sul diritto d’autore art. 70 consente l’utilizzazione libera del materiale laddove ricorrano determinate condizioni: la citazione o riproduzione di brani o parti di opera e la loro comunicazione al pubblico sono liberi qualora siano effettuati per uso di critica, discussione, insegnamento o ricerca scientifica entro i limiti giustificati da tali fini e purché non costituiscano concorrenza all’utilizzazione economica dell’opera citata o riprodotta.
Vuoi richiedere la rimozione dell’articolo?
Clicca qui
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
Informativa sui diritti di autore
La legge sul diritto d’autore art. 70 consente l’utilizzazione libera del materiale laddove ricorrano determinate condizioni: la citazione o riproduzione di brani o parti di opera e la loro comunicazione al pubblico sono liberi qualora siano effettuati per uso di critica, discussione, insegnamento o ricerca scientifica entro i limiti giustificati da tali fini e purché non costituiscano concorrenza all’utilizzazione economica dell’opera citata o riprodotta.
Vuoi richiedere la rimozione dell’articolo?
Clicca qui