NEWS

L’Europa si prepara all’applicazione della direttiva NIS2: ma le norme da sole non bastano

La Commissione Europea ha approvato il 17 ottobre un importante atto di esecuzione in tema di cybersicurezza, segnando un ulteriore passo nella protezione delle infrastrutture digitali e dei servizi essenziali all'interno dell'Unione. Questo regolamento di esecuzione, emesso a norma della direttiva NIS2 (Direttiva sulla sicurezza delle reti e dei sistemi informativi), valuta una serie di norme specifiche per la gestione del rischio cibernetico e per la segnalazione degli incidenti significativi, introducendo un approccio uniforme e strutturato alla cybersicurezza in tutta Europa.


La direttiva NIS2 e il relativo regolamento di attuazione hanno un impatto diretto su una vasta gamma di soggetti e reti critiche, in particolare su quelle infrastrutture che forniscono servizi digitali essenziali alla continuità economica e sociale degli Stati membri.

Il regolamento è stato adottato a ridosso del termine stabilito per il recepimento della direttiva NIS2 nel diritto nazionale di ciascuno Stato membro, stabilendo un modello chiaro per garantire un elevato livello di sicurezza e resilienza per le infrastrutture digitali. A partire dal 18 ottobre 2024, gli Stati membri, difatti, sono tenuti ad adottare e applicare le misure necessarie per garantire la piena conformità alle disposizioni della direttiva, comprese le norme di vigilanza e di esecuzione, attraverso una stretta collaborazione tra le autorità nazionali e le entità private. Si tratta di un impegno ambizioso e complesso, che pone l'Unione Europea come modello di riferimento globale per le politiche di cybersicurezza.

Il regolamento di esecuzione fornisce indicazioni dettagliate sulle misure di gestione del rischio che le imprese e i fornitori di servizi digitali devono adottare per rafforzare la propria resistenza agli attacchi informatici e per ridurre al minimo le potenziali vulnerabilità nei propri sistemi e reti. Il testo prevede che ogni organizzazione coinvolta effettui una valutazione periodica e completa dei rischi associati alla propria infrastruttura digitale, e preveda parametri precisi per valutare quando un incidente cibernetico deve essere considerato "significativo" ai fini della segnalazione alle autorità competenti. Questo approccio integrato alla gestione del rischio ha lo scopo di assicurare una maggiore uniformità nelle misure adottate dagli Stati membri e di ridurre le possibilità di divergenze normative che potrebbero indebolire l'efficacia della difesa cibernetica comune.

L'atto di esecuzione si applica a una serie di categorie di imprese che lavorano in settori critici e che forniscono servizi digitali di importanza strategica. Tra queste figurano i fornitori di servizi di cloud computing, che gestiscono dati e applicazioni per una vasta gamma di utenti; i data center, che offrono servizi di archiviazione e gestione dei dati per molteplici settori industriali; i mercati online, che costituiscono canali essenziali per le transazioni commerciali in Europa e nel mondo; i motori di ricerca, strumenti fondamentali per l'accesso alle informazioni e alla conoscenza e le piattaforme di social networking, che svolgono un ruolo sempre più rilevante come veicoli di comunicazione e interazione sociale.

Il regolamento specifica in maniera dettagliata anche i criteri che devono essere soddisfatti affinché un incidente venga considerato “significativo”. Ciò riguarda principalmente l'impatto dell'incidente sui servizi e la sua potenziale influenza sulla sicurezza nazionale, sulla continuità dei servizi essenziali o sulla fiducia pubblica. Un incidente viene considerato rilevante quando provoca interruzioni prolungate nel funzionamento di una rete o di un servizio digitale essenziale, quando comporta il rischio di danni gravi per la sicurezza dei dati personali o quando compromette in modo significativo la disponibilità e la fiducia nei servizi offerti da un 'impresa digitale. Il regolamento stabilisce che tali incidenti devono essere segnalati tempestivamente alle autorità nazionali di cybersicurezza, che saranno incaricate di monitorare e gestire le risposte agli incidenti in collaborazione con le entità coinvolte. Questo meccanismo di segnalazione è pensato per garantire che le autorità abbiano una visione completa delle minacce cibernetiche e possano intervenire in maniera tempestiva e coordinata.

L'implementazione di queste disposizioni normative richiederà agli enti e alle aziende di rivedere e rafforzare i propri sistemi di sicurezza, adottando tecnologie avanzate e strategie di mitigazione dei rischi per proteggere le proprie infrastrutture digitali da attacchi sempre più sofisticati e persistenti. La direttiva NIS2 e il regolamento di esecuzione pongono infatti l'accento sull'importanza di adottare un approccio proattivo alla gestione della sicurezza informatica, che preveda non solo misure reattive in caso di incidente, ma anche strategie preventive per ridurre la probabilità di attacchi. Gli operatori di servizi essenziali e i fornitori di infrastrutture digitali sono chiamati a implementare sistemi di monitoraggio costante per rilevare tempestivamente attività sospette, oltre che a elaborare piani di risposta agli incidenti per garantire il rapido ripristino dei servizi.

Con l'entrata in vigore del regolamento di esecuzione, gli Stati membri dovranno anche istituire e rafforzare le proprie autorità nazionali di cybersicurezza, garantendo loro le risorse e le competenze necessarie per svolgere efficacemente il loro ruolo. Queste autorità saranno incaricate non solo di vigilare sul rispetto delle normative da parte delle imprese e dei fornitori di servizi digitali, ma anche di facilitare lo scambio di informazioni e di collaborare con le omologhe degli altri istituti Stati membri di difesa per creare un quadro europeo di coordinazione. Tale collaborazione si estenderà anche alle esercitazioni congiunte di simulazione di incidenti cibernetici, allo scopo di testare e migliorare le capacità di risposta comune in caso di attacco su larga scala.

L'adozione di queste norme segna una svolta significativa per la cybersicurezza dell'Unione Europea, rendendo l'UE un esempio per il mondo in termini di regolamentazione della sicurezza informatica. La direttiva NIS2 rappresenta infatti un modello di riferimento globale per le politiche di cybersicurezza, ponendo l'accento sull'importanza di un approccio coordinato e sull'integrazione delle strategie di difesa informatica a livello europeo. Grazie a questo nuovo quadro normativo, l'UE sarà in grado di affrontare con maggiore efficacia le minacce cibernetiche, migliorando la resilienza delle infrastrutture critiche e garantendo una maggiore sicurezza per i cittadini e le imprese.

Il regolamento di esecuzione adottato rappresenta, quindi, non solo una risposta immediata alle sfide attuali, ma anche un investimento strategico per il futuro digitale dell'Europa. Con il progresso tecnologico e l'espansione dell'IA, le minacce informatiche sono destinate a crescere in numero e complessità, rendendo essenziale un approccio preventivo e integrato alla cybersicurezza. La direttiva NIS2, insieme al regolamento di esecuzione, costituisce una solida base per costruire un ecosistema digitale sicuro e resiliente, che possa sostenere lo sviluppo economico e sociale dell'UE in un contesto globale sempre più competitivo e interconnesso.

Non mancano ovviamente aspetti critici che vanno affrontati e risolti. Innanzitutto la direttiva NIS2 e il regolamento di attuazione impongono alle organizzazioni non solo di dotarsi di infrastrutture sicure, ma anche di personale altamente qualificato e costantemente formato per gestire e prevenire i rischi cibernetici.

Tuttavia, in molti Paesi europei si registra una significativa carenza di competenze nel settore della cybersicurezza, con una domanda di esperti che supera di gran lunga l'offerta.

Inoltre l 'attenzione che la direttiva NIS2 pone sulla responsabilità e sulla trasparenza nella gestione della cybersicurezza potrebbe portare ulteriori problemi legali e di compliance per gli enti e le aziende.

La necessità di segnalare gli incidenti e di garantire livelli di sicurezza elevati potrebbe imporre alle organizzazioni sanzioni significative in caso di inadempienza o di ritardi nella risposta agli incidenti. Questa pressione normativa, sebbene giustificata dal bisogno di una maggiore responsabilità, rischia di generare una cultura della conformità formale che privilegia l'adempimento dei requisiti di legge piuttosto che l'effettiva sicurezza dei sistemi.

Le varie organizzazioni potrebbero trovarsi a investire più tempo e risorse nel soddisfare i requisiti burocratici della direttiva piuttosto che nella realizzazione di misure di sicurezza efficaci e adattive.

Note Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - Twitter: @miasell

Prev Trasferimento dati Ue-Usa: il Comitato europeo per la protezione dei dati adotta la prima revisione del Data Privacy Framework
Next Ecco come i nostri dispositivi elettronici ci ascoltano invadendo la nostra privacy

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy