Cybersecurity e resilienza digitale, in vigore le Direttive UE

Che gli attacchi cyber siano in aumento è noto a tutti. Nel 2022, nel nostro Paese, sono stati monitorati quasi 13mila i cyberattacchi a infrastrutture critiche, oltre a 113mila allert di azioni ostili contro reti nazionali e siti ministeriali e a oltre 82mile eventi che hanno riguardato le aziende, solo nel primo semestre dell'anno, di cui 13mila hanno compromesso i processi produttivi. Le previsioni per il 2023 sono di ulteriori aumenti.

Da queste prime considerazioni discende che la trattazione di questa importante questione – la cybersecurity – deve, per forza, andare dalla sicurezza del perimetro nazionale (che può essere violato così come le nostre Istituzioni); alla continuità aziendale, che può essere pregiudicata; allo studio professionale, che può essere hackerato; al trattamento dei dati personali, che possono essere sottratti e utilizzati in modo fraudolento; alle fotografie delle nostre vacanze, che possono essere criptate.

Se l'Unione Europea è ancora in ritardo sul fronte dell'autonomia dalla dipendenza tecnologica da altri Paesi – fra tutte la questione microchip è emblematica – va meglio sotto il profilo delle infrastrutture e della connettività, ulteriormente finanziate con il Next generation EU, mentre dal punto di vista normativo l'Unione Europea è assolutamente all'avanguardia tanto da rappresentare un modello di riferimento per molti Paesi, non dobbiamo dimenticare che l'Unione Europea nel periodo 2021-2027 si è impegnata a investire nel Programma Europa digitale 1,6 miliardi di Euro sulla cybersecurity e nella diffusione di infrastrutture e strumenti cyber-sicuri a favore di cittadini, imprese e Pubblica Amministrazione.

In settori critici quali la sanità, i trasporti, l'energia e la finanza la dipendenza dagli strumenti digitali è totale e di conseguenza è molto elevata l'esposizione alle minacce informatiche accentuata – sembra un paradosso – dalle tecnologie legate all'intelligenza artificiale, all'internet of things, alla latenza dei sistemi sempre più ridotta e ai computer quantistici: utili novità con un elevato potenziale crime. Entro il 2024 circa 23 miliardi di dispositivi saranno collegati all'internet delle cose – questo numero deve far riflettere – e le nostre automobili stanno, di fatto, diventando degli smartphone.

Quindi, vista l'ampia platea di riferimento, l'obiettivo dell'Unione Europea non può che essere quello di rafforzare sistemi informatici che siano resilienti per tutti i cittadini, le imprese e le Istituzioni affinché possano utilizzare gli strumenti e i servizi digitali in modo sicuro, affidabile e diffuso.

Vi sono degli orientamenti di mercato – come la crescita dell'internet of things, stimato per l'Italia in oltre 200 milioni di oggetti smart che raddoppieranno ogni due anni, proprio come aveva previsto Gordon Moore per i microchip (Legge di Moore), l'aumento dell'attenzione di cittadini sempre più digitali per scelta o per necessità, l'attenzione a tutta la catena della fornitura al di là delle dimensioni aziendali (supplay chain) e la nascita di nuove figure professionali come il Chief information security officer, le smart city che ci piacerebbe diventassero smart land – che ci indicano che la cybersecurity è contemporaneamente sia un problema da affrontare che un vantaggio competitivo.

Fin dal 22 Marzo 2021 il Consiglio europeo ha adeguato la strategia UE in materia di Cybersecurity ritenendola essenziale per costruire un'Unione Europea resiliente, verde e digitale. Tale strategia ha fatto emergere la necessità di una Direttiva aggiornata per proteggere meglio la rete e i sistemi informativi e di una nuova Direttiva sulla resilienza dei soggetti critici, atti necessari anche per mettere ordine a una certa proliferazione normativa e ad allineare le norme a un'evoluzione tecnologica con la quale per il legislatore è sempre molto difficile tenere il passo.

Sono state pubblicate sulla Gazzetta ufficiale dell'Unione Europea del 27 Dicembre 2022 tre Direttive – tutte del 14 Dicembre 2022 e che sono entrate in vigore il 17 Gennaio 2023:

• la Direttiva (UE) 2022/2555 (Direttiva NIS2), relativa a misure per un livello comune elevato di cibersicurezza nell'Unione che ha apportato modifiche a far data dal 18 Ottobre 2024 al Regolamento (UE) 2014/910 e alla Direttiva (UE) 2018/1972 e ha abrogato la Direttiva (UE) 2016/1148 c.d. NIS 1 che dovrà essere recepita dagli Stati membri entro il 17 Ottobre 2024;

• la Direttiva (UE) 2022/2556 , che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario che dovrà essere recepita dagli Stati membri entro il 17 Ottobre 2025;

• la Direttiva (UE) 2022/2557 , relativa alla resilienza dei soggetti critici che abroga, dal 18 Ottobre 2024, la Direttiva 2008/114/CE che dovrà essere recepita dagli Stati membri entro il 17 Ottobre 2024.

In particolare, nelle Direttive 2555 e 2557 è previsto che la Commissione europea debba riesaminare periodicamente il loro funzionamento.

Mentre è rimasto invariato il Regolamento (UE) 2019/881 del 17 Aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, che abroga il Regolamento (UE) 2013/526 (c.d. «Regolamento sulla cibersicurezza») con lo scopo di garantire, tramite l'ENISA, e alla prassi comune di certificazione, i più elevati standard di cybersecurity per i prodotti, i servizi e i processi ICT e, al contempo, di porre rimedio alla frammentazione normativa e del mercato dovuti a sistemi di certificazione differenti nei diversi Paesi dell'Unione con gli obiettivi di stimolare la fiducia e il commercio in tutta la UE oltre che stimolare la crescita del mercato della cybersecurity.

Infine, è di peculiare importanza che con la Direttiva (UE) 2022/2555 venga posta grande attenzione alla promozione e lo sviluppo di attività di istruzione, formazione e sensibilizzazione, di competenze e di iniziative di ricerca e sviluppo in materia di cybersecurity, nonché alla condivisione delle buone pratiche e ai controlli riguardanti l'igiene informatica, destinati ai cittadini e a tutti i portatori d'interessi comprese le PMI escluse dall'ambito di applicazione della Direttiva stessa.

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più