Le novità della Direttiva NIS 2 sulla cybersecurity

Le novità della Direttiva NIS 2 sulla cybersecurity

La cibersicurezza è una sfida sempre più rilevante per le aziende e le organizzazioni che operano nell’Unione Europea, soprattutto in un contesto di crescente digitalizzazione e interconnessione dei servizi essenziali e delle infrastrutture critiche.

 

Per questo motivo, l’UE ha deciso di rafforzare il suo quadro normativo in materia di sicurezza delle reti e dei sistemi informativi, approvando la direttiva NIS2, che abroga e sostituisce la precedente direttiva NIS del 2016.

 

La direttiva NIS2 ha l’obiettivo di garantire un livello comune elevato di cibersicurezza nell’Unione, migliorando le capacità di prevenzione, rilevamento e risposta agli incidenti informatici, rafforzando la cooperazione tra gli Stati membri e l’UE, e aumentando la resilienza dei soggetti pubblici e privati che forniscono servizi o gestiscono infrastrutture essenziali per il funzionamento della società e dell’economia.

 

Le principali novità introdotte dalla direttiva NIS2 sono le seguenti:

 

  • Ampliamento dell’ambito di applicazione: la direttiva NIS2 estende i requisiti di cibersicurezza a nuovi settori e servizi, tra cui il settore postale, il settore chimico, il settore alimentare, i servizi legali, i servizi contabili, i servizi di architettura, i servizi di ingegneria, i servizi di gestione dei rifiuti, i servizi di social network online, i servizi di data warehouse online, i servizi di condivisione online e i servizi di comunicazione online.
  • Inoltre, la direttiva NIS2 introduce una nuova categoria di soggetti chiamati “operatori importanti”, che sono quelli che hanno un impatto significativo sul mercato interno o sulla sicurezza pubblica o nazionale. Gli operatori importanti sono soggetti a requisiti più stringenti rispetto agli altri soggetti.
  • Armonizzazione dei requisiti minimi: la direttiva NIS2 stabilisce requisiti minimi armonizzati per la cibersicurezza dei soggetti interessati, basati su principi generali come la gestione del rischio, la sicurezza per progettazione e per impostazione predefinita, l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate, la segnalazione degli incidenti alle autorità competenti e ai destinatari dei servizi, la cooperazione con le autorità competenti e gli altri soggetti interessati, la formazione del personale e la sensibilizzazione degli utenti.
  • La direttiva NIS2 prevede anche che gli Stati membri adottino misure per verificare il rispetto dei requisiti da parte dei soggetti interessati, attraverso ispezioni regolari o basate sul rischio.
  • Rafforzamento della cooperazione: la direttiva NIS2 rafforza i meccanismi di cooperazione tra gli Stati membri e l’UE in materia di cibersicurezza, istituendo una rete europea per la cibersicurezza composta dalle autorità competenti nazionali e dal coordinatore dell’UE (la Commissione o un organismo da essa designato), che ha il compito di facilitare lo scambio di informazioni strategiche e operative, coordinare le azioni comuni in caso di incidenti transfrontalieri o a livello dell’UE, fornire orientamenti e raccomandazioni sui requisiti minimi e sulle migliori pratiche, monitorare l’attuazione della direttiva NIS2 e valutarne l’impatto. La direttiva NIS2 prevede inoltre il coinvolgimento dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA) nel supporto alla rete europea per la cibersicurezza e nella promozione della cooperazione tra gli Stati membri.

 

 

La direttiva NIS2 rappresenta quindi un passo importante verso una maggiore armonizzazione e convergenza delle norme sulla cibersicurezza nell’UE, al fine di garantire un livello elevato di protezione dei dati, delle reti e dei sistemi informativi, nonché della sicurezza e del benessere dei cittadini e delle imprese.

 

 

La direttiva NIS2 dovrà essere recepita dagli Stati membri entro 18 mesi dalla sua entrata in vigore, che avverrà dopo la sua pubblicazione nella Gazzetta ufficiale dell’UE.

 

#studioindustria #nextlevelbusiness #masteringthefuture

by Avv. Minazzi

REgolamento DORA: cosa cambia per le imprese?

Regolamento DORA: cosa cambia per le imprese?

Il Regolamento DORA (Digital Operational Resilience Act) è una nuova normativa europea che mira a rafforzare la resilienza operativa digitale delle entità finanziarie, cioèla loro capacità di prevenire, affrontare e riprendersi da incidenti o minacce informatiche che potrebbero compromettere i loro servizi, i loro dati o la loro reputazione.

 

Il Regolamento DORA si applica a tutte le entità finanziarie autorizzate e vigilate nell’Unione europea, come banche, assicurazioni, fondi di investimento, società di rating del credito, piattaforme di finanza tra pari, fornitori di servizi di pagamento e altri operatori del settore finanziario.

 

Un aspetto importante da sottolineare è che il Regolamento coinvolge anche i fornitori di tali entità.

 

Il Regolamento DORA introduce una serie di obblighi e misure per le entità finanziarie, tra cui:

  • la gestione dei rischi delle tecnologie dell’informazione e della comunicazione (TIC), basata su una valutazione periodica dei rischi informatici e su una politica di sicurezza delle TIC adeguata;
  • la segnalazione alle autorità competenti dei gravi incidenti relativi alle TIC, come attacchi informatici, guasti tecnici, perdite di dati o violazioni della privacy;
  • i test di resilienza operativa digitale, che consistono in simulazioni realistiche di scenari avversi per verificare la capacità delle entità finanziarie di resistere e ripristinare le loro funzioni critiche in caso di incidenti informatici;
  • la gestione dei rischi informatici derivanti da terzi, come fornitori di servizi TIC, cloud computing, outsourcing o sub-outsourcing, attraverso accordi contrattuali chiari e monitoraggio continuo delle prestazioni e della conformità;
  • i meccanismi di condivisione delle informazioni, che prevedono lo scambio volontario di dati e informazioni sulla vulnerabilità e sulle minacce informatiche tra le entità finanziarie e le autorità competenti, al fine di migliorare la consapevolezza e la cooperazione in materia di sicurezza informatica.

 

Il Regolamento DORA entrerà in vigore il 21° giorno successivo alla sua pubblicazione nella Gazzetta ufficiale dell’Unione europea, avvenuta il 27 dicembre 2022, e troverà applicazione a partire dal 17 gennaio 2025.

 

Per le entità finanziarie, il Regolamento DORA rappresenta una sfida ma anche un’opportunità per adeguare i loro sistemi e processi alle nuove esigenze del mercato digitale, aumentando la loro competitività e la fiducia dei loro clienti.

 

Se avete domande o commenti sul REgolamento DORA o sulle sue implicazioni per il vostro business, non esitate a contattarci.

 

 

#studioindustria #nextlevelbusiness #masteringthefuture

by Avv. Minazzi