In vigore la direttiva sulla sicurezza informatica

In vigore la direttiva sulla sicurezza informatica

La Commissione europea ha dato piena attuazione alle indicazioni della direttiva NIS2: a partire dal 18 ottobre 2024, tutti gli Stati membri devono applicare le misure necessarie per conformarsi alle norme sulla sicurezza informatica.

La Commissione ha adottato le prime norme di attuazione sulla sicurezza informatica di entità e reti critiche, ai sensi della direttiva sulle misure, che possono garantire un elevato livello comune di sicurezza informatica nell'Unione (direttiva NIS2).

Questa iniziativa attuativa specifica le misure di gestione del rischio di sicurezza informatica, nonché i casi in cui un incidente dovrebbe essere considerato significativo e, di conseguenza, le aziende che gestiscono infrastrutture e servizi digitali dovrebbero segnalarlo alle autorità nazionali. Si tratta di un altro passo importante per rafforzare la resilienza informatica delle infrastrutture digitali critiche dell'Europa.

Il regolamento di attuazione adottato oggi si applicherà a categorie specifiche di aziende, che forniscono servizi digitali, come i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i marketplace online, i motori di ricerca online e le piattaforme di social network, per citarne alcuni. Per ciascuna categoria di fornitori di servizi, l'atto di attuazione specifica anche quando un incidente è considerato significativo, deve pertanto essere segnalato alle autorità nazionali.

L'adozione odierna del regolamento attuativo coincide con la scadenza, per gli Stati membri, per recepire la direttiva NIS2 nel diritto nazionale. Con l’occasione, ricordiamo ai lettori che mentre una direttiva deve essere recepita con una disposizione legislativa nazionale, un regolamento non ha bisogno di questo intervento legislativo.

A partire dal 18 ottobre 2024, tutti gli Stati membri devono applicare le misure necessarie per conformarsi alle norme sulla sicurezza informatica NIS2, comprese le misure di vigilanza e di esecuzione.

Pubblicità

Libri e Manuali - La progettazione delle sale di controllo: la serie ISO 11064 ed altre norme - eBook in pdf Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti.

In Italia, lo scorso 7 agosto 2024 il Consiglio dei ministri ha approvato, in esame definitivo, il decreto legislativo n. 138 del 4 settembre, adesso pubblicato sulla Gazzetta Ufficiale n. 230 del 1° ottobre 2024, di recepimento della direttiva (UE) 2022/2555 – la Direttiva NIS2 – relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.

Le aziende potenzialmente coinvolte devono dapprima effettuare una auto-valutazione, per verificare se esse rientrano nell’ambito di applicazione del Decreto Legislativo. In caso di risposta affermativa o di dubbio, essi debbono registrarsi sulla piattaforma digitale, resa disponibile dall’Agenzia Nazionale per la Cybersicurezza (l’“ACN”). Sarà l’ACN a comunicare ai soggetti registrati il rientro, o meno, nell’ambito di applicazione delle nuove regole.

Breve storia delle iniziative di sicurezza informatica, a livello europeo

La prima legge sulla sicurezza informatica, a livello dell'UE, vale a dire la direttiva NIS, è entrata in vigore nel 2016 ed ha contribuito a raggiungere un livello comune di sicurezza delle reti e dei sistemi informativi in ​​tutta l'UE. Come parte del suo obiettivo politico chiave, vale a dire rendere l'Europa adatta ad affrontare l'era digitale, la Commissione ha proposto, a dicembre 2020, la revisione della direttiva NIS. Dopo l'entrata in vigore, a gennaio 2023, gli Stati membri hanno dovuto recepire la direttiva NIS2 nel diritto nazionale entro il 17 ottobre 2024. La direttiva NIS2 mira a garantire un elevato livello di sicurezza informatica in tutta l'Unione. Copre entità che operano in settori critici per l'economia e la società, tra cui fornitori di servizi di comunicazioni elettroniche pubbliche, gestione dei servizi ICT, servizi digitali, gestione delle acque reflue e dei rifiuti, spazio, salute, energia, trasporti, produzione di prodotti critici, servizi postali e di corriere e pubblica amministrazione.  La direttiva:

• rafforza i requisiti di sicurezza imposti alle aziende,
• affronta la sicurezza delle catene di fornitura e delle relazioni con i fornitori,
• semplifica gli obblighi di segnalazione,
• introduce misure di vigilanza più severe per le autorità nazionali, nonché requisiti di applicazione più severi,
• mira ad armonizzare i regimi sanzionatori tra gli Stati membri,
• contribuirà ad aumentare la condivisione delle informazioni e la cooperazione nella gestione delle crisi informatiche a livello nazionale e dell'UE.

Vedi allegata direttiva(PDF)

Adalberto Biasiotti

Licenza Creative Commons

I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.