La crescente dipendenza dalle tecnologie digitali in Europa porta con sé sfide in materia di cybersicurezza. In questo contesto, il 17 ottobre la Commissione Europea ha adottato un Regolamento di esecuzione che specifica le misure per la gestione dei rischi informatici significativi, definendo criteri e obblighi per le aziende. Questo Regolamento si colloca all’interno della Direttiva NIS2, che mira a un livello uniforme di cybersicurezza nell’Unione Europea.

Cosa si intende per incidente “Significativo”?

Un incidente è considerato “significativo” quando comporta danni oltre i 500.000 euro, compromette segreti commerciali o rappresenta una minaccia per la sicurezza umana. Le nuove regole si rivolgono a soggetti strategici nel panorama digitale, come provider di servizi cloud, marketplace online, social network e fornitori di servizi di sicurezza. Tali soggetti sono ora tenuti a segnalare questi eventi alle autorità nazionali competenti, contribuendo a un sistema di allerta rapido e coordinato a livello europeo.

Struttura del regolamento

Il Regolamento di esecuzione, suddiviso in 43 Consideranda, 16 articoli e un Allegato, fornisce una guida dettagliata per la gestione dei rischi informatici. L’art. 1 elenca i requisiti tecnici e metodologici per vari fornitori di servizi digitali, tra cui DNS, cloud computing, data center e piattaforme social. Inoltre, specifica le condizioni per cui un incidente è qualificato come significativo, includendo eventi di durata superiore a 30 minuti o compromissioni dell’integrità e della riservatezza dei dati.

Incidente collettivamente significativo

L’art. 4 introduce il concetto di “incidente collettivamente significativo”. Questo prevede che eventi minori possano essere considerati di rilevanza significativa se si verificano in modo ricorrente, condividono una causa comune e, complessivamente, soddisfano i requisiti di gravità descritti nell’art. 3. Tale disposizione mira a migliorare il monitoraggio e la prevenzione di attacchi cyber prolungati o seriali.

Policy di sicurezza e gestione del rischio

Uno degli aspetti centrali è la policy di sicurezza dei sistemi di rete e informazione, disciplinata nell’Allegato all’art. 1. Le aziende devono sviluppare una policy chiara, definendo responsabilità, impegni e risorse necessarie per la cybersicurezza. Questa strategia deve essere comunicata al personale e agli stakeholder, dimostrando l’impegno verso un miglioramento continuo.

La gestione del rischio assume un ruolo primario con l’art. 2 dell’Allegato, che stabilisce l’obbligo per le aziende di adottare un quadro per l’identificazione e la mitigazione dei rischi. Questa policy richiede una revisione annuale e l’aggiornamento dei piani in caso di cambiamenti significativi, a garanzia di una protezione adattiva e costante.

Sicurezza della Supply Chain

In un’epoca di globalizzazione e interconnessione digitale, anche la sicurezza della supply chain riveste un’importanza crescente. L’art. 5 dell’Allegato introduce una politica specifica per la sicurezza della catena di fornitura, volta a ridurre i rischi derivanti da terzi e a garantire che i fornitori adottino standard di sicurezza appropriati. Questa misura si traduce in requisiti di sicurezza chiari nei contratti con i fornitori, con l’obiettivo di estendere la protezione anche alle reti e alle risorse esterne coinvolte nel processo produttivo.

Aspetti della sicurezza digitale

Il Regolamento estende la protezione a vari aspetti della sicurezza digitale, come la crittografia (art. 9), la sicurezza delle risorse umane (art. 10), il controllo degli accessi (art. 11) e la sicurezza fisica (art. 13). Questi articoli stabiliscono linee guida che mirano a coprire tutti i punti nevralgici della sicurezza aziendale, garantendo un approccio olistico alla protezione informatica.

L’adozione del Regolamento di esecuzione rappresenta un passo decisivo verso la piena attuazione della Direttiva NIS2. La sua pubblicazione in Gazzetta Ufficiale segnerà l’inizio di un nuovo standard europeo per la cybersicurezza, con regole destinate a rafforzare la resilienza del continente di fronte alle crescenti minacce cyber. Le aziende coinvolte dovranno adattarsi a requisiti più stringenti e rafforzare le proprie strategie di gestione del rischio, ponendo le basi per un’Europa digitale più sicura e preparata.

La nuova normativa europea in materia di cybersicurezza, basata sulla Direttiva NIS2, in definitiva, impone standard rigorosi e una gestione del rischio più responsabile. Per le aziende digitali, adattarsi a questi nuovi requisiti significa non solo rispettare le disposizioni legali, ma anche proteggere la propria posizione in un mercato sempre più sensibile alla sicurezza.