L’Unione Europea ha intrapreso un percorso deciso per rafforzare la sicurezza e la resilienza delle sue infrastrutture digitali vitali. Le normative chiave in questo ambito sono la Direttiva NIS2 e il Regolamento DORA, strumenti essenziali per affrontare la crescente minaccia degli attacchi informatici e garantire la continuità dei servizi critici in settori strategici.
Quali sono le principali normative europee sulla sicurezza delle infrastrutture digitali?
Le principali normative europee che definiscono il quadro per la sicurezza e la resilienza delle infrastrutture digitali sono la Direttiva NIS2 (Network and Information Security 2) e il Regolamento DORA (Digital Operational Resilience Act).
Questi atti legislativi sono il pilastro della strategia di cybersicurezza dell’UE e mirano a stabilire un livello comune elevato di sicurezza in tutti gli Stati membri, con obiettivi specifici:
- NIS2: Aumentare la resilienza e la capacità di risposta agli incidenti in ampi settori critici dell’economia e della società.
- DORA: Regolamentare la resilienza operativa digitale nel settore finanziario, assicurando che le entità possano resistere, rispondere e riprendersi da tutte le tipologie di interruzioni e minacce ICT.
Direttiva NIS2: Obiettivi, Ambito di Applicazione e Nuovi Obblighi
La Direttiva (UE) 2022/2555 (NIS2), entrata in vigore nel gennaio 2023 e che ha abrogato la precedente NIS, rappresenta un notevole ampliamento in termini di scopo e severità degli obblighi.
A chi si applica la Direttiva NIS2?
NIS2 estende l’ambito di applicazione a un numero significativamente maggiore di enti essenziali ed enti importanti operanti in 18 settori critici, basandosi sulla logica delle dimensioni dell’entità e, ove applicabile, sui servizi offerti.
Entità Essenziali (Alta Criticità):
- Energia: Elettricità, gas, petrolio, idrogeno, teleriscaldamento.
- Trasporti: Aereo, ferroviario, marittimo, stradale.
- Sanità: Strutture sanitarie e laboratori di riferimento.
- Acqua: Fornitura e distribuzione di acqua potabile e gestione delle acque reflue.
- Bancario e Infrastrutture dei Mercati Finanziari.
- Infrastrutture Digitali: Provider di servizi cloud, data center, reti di comunicazione elettronica.
- Pubblica Amministrazione.
Entità Importanti (Altra Criticità):
- Servizi Digitali: Motori di ricerca, piattaforme di social network, mercati online.
- Posta e Servizi di Corriere.
- Gestione Rifiuti.
- Produzione di Prodotti Chimici.
- Produzione, trasformazione e distribuzione alimentare.
Quali sono i requisiti di gestione del rischio introdotti da NIS2?
NIS2 impone alle entità coperte di adottare un ampio spettro di misure di gestione del rischio di cybersicurezza. Questi requisiti sono concepiti per garantire un livello di sicurezza commisurato ai rischi esistenti e includono:
- Politiche di analisi dei rischi e sicurezza dei sistemi informativi: Compresa la gestione e la divulgazione delle vulnerabilità.
- Gestione degli incidenti: Definizione di procedure per la prevenzione, il rilevamento, la risposta e il ripristino, con obblighi di notifica stringenti.
- Continuità operativa e gestione delle crisi: Piani di backup, disaster recovery e gestione delle crisi.
- Sicurezza della catena di approvvigionamento: Affrontare gli aspetti di sicurezza relativi ai fornitori diretti e ai fornitori di servizi (Supply Chain Security).
- Utilizzo della crittografia e dell’autenticazione a più fattori (MFA).
- Formazione sulla cybersicurezza: Per la direzione e i dipendenti.
Notifica degli Incidenti: I Nuovi Tempi
NIS2 rafforza in modo significativo gli obblighi di notifica degli incidenti. Le entità essenziali e importanti devono comunicare gli incidenti significativi alle autorità competenti (in Italia, l’Agenzia Nazionale per la Cybersicurezza – ACN) seguendo una tempistica precisa:
| Fase di Notifica | Tempistica | Contenuto |
| Allerta Precoce (Early Warning) | Entro 24 ore dalla conoscenza dell’incidente significativo. | Deve indicare se l’incidente è stato causato illegalmente o può causare un impatto transfrontaliero. |
| Notifica di Aggiornamento | Entro 72 ore dalla conoscenza. | Valutazione iniziale dell’incidente, gravità e impatto, e indicazione delle misure di mitigazione adottate. |
| Relazione Finale | Entro 1 mese dalla presentazione della notifica di aggiornamento. | Descrizione dettagliata dell’incidente, causa principale, impatto finale e misure correttive. |
Regolamento DORA: Resilienza Operativa Digitale per il Settore Finanziario
Il Regolamento (UE) 2022/2554 (DORA), in vigore dal gennaio 2023 e pienamente operativo dal 17 gennaio 2025, stabilisce norme uniformi sulla resilienza operativa digitale per il settore finanziario.
Qual è l’obiettivo principale del Regolamento DORA?
L’obiettivo primario di DORA è garantire che le entità finanziarie siano in grado di mantenere le loro funzioni critiche e i servizi essenziali anche a fronte di gravi interruzioni operative causate da minacce ICT, inclusi gli attacchi informatici. A differenza di NIS2, che è una direttiva (da recepire nel diritto nazionale), DORA è un Regolamento ed è immediatamente applicabile in tutti gli Stati membri dell’UE.
A chi si applica il Regolamento DORA?
DORA si applica a una vasta gamma di entità finanziarie e, cruciale, ai fornitori terzi di servizi ICT che erogano servizi a tali entità.
Entità Finanziarie Coperte:
- Banche, Istituti di Pagamento e Istituti di Moneta Elettronica.
- Imprese di Assicurazione e Riassicurazione.
- Società di Gestione di Attivi e Fondi di Investimento.
- Cripto-asset Service Providers (CASP).
I Cinque Pilastri della Conformità DORA
Il Regolamento DORA si basa su cinque aree chiave di intervento, che definiscono i requisiti che le entità finanziarie e i fornitori terzi critici devono soddisfare:
| Pilastro DORA | Descrizione Breve |
| Gestione del Rischio ICT | Le entità devono implementare un quadro di gestione del rischio che identifichi, valuti, protegga, rilevi e reagisca ai rischi ICT. |
| Gestione degli Incidenti ICT | Definizione di processi per la classificazione, la gestione e, soprattutto, la segnalazione unificata degli incidenti ICT significativi alle autorità competenti. |
| Testing della Resilienza Operativa Digitale | Le entità devono condurre regolarmente test di resilienza, inclusi i Threat-Led Penetration Testing (TLPT) per le entità più grandi e critiche. |
| Gestione del Rischio di Terze Parti | Le entità finanziarie devono gestire attivamente il rischio derivante dall’affidamento su fornitori terzi di servizi ICT, in particolare quelli considerati critici. |
| Condivisione delle Informazioni | Promozione della condivisione di informazioni e intelligence sulle minacce informatiche tra le entità finanziarie (su base volontaria). |
NIS2 vs. DORA: Un Quadro di Sintesi
Sebbene entrambe mirino a un aumento della cybersicurezza, NIS2 e DORA si distinguono per il loro ambito di applicazione e la natura del loro atto legislativo:
| Caratteristica | Direttiva NIS2 | Regolamento DORA |
| Natura Legale | Direttiva (deve essere recepita dagli Stati membri). | Regolamento (direttamente applicabile). |
| Settore di Focus | Ampia gamma di settori critici (es. Energia, Trasporti, Sanità, Pubblica Amministrazione, Infrastrutture Digitali). | Esclusivamente il Settore Finanziario e i suoi fornitori terzi ICT. |
| Obiettivo Principale | Sicurezza delle reti e dei sistemi informativi, resilienza complessiva. | Resilienza Operativa Digitale specifica per i servizi finanziari. |
| Sanzioni | Severe, fino a 10.000.000 di euro o 2% del fatturato globale (Entità Essenziali). | Molto severe, con poteri di ingiunzione e sanzioni periodiche per la non conformità. |
FAQ: Domande Frequenti sulle Normative Europee
Quando entrano in vigore NIS2 e DORA?
La Direttiva NIS2 è entrata in vigore a livello europeo nel gennaio 2023, con l’obbligo per gli Stati membri di recepirla nel diritto nazionale entro il 17 ottobre 2024. Il Regolamento DORA è anch’esso in vigore dal gennaio 2023, ma sarà pienamente operativo e applicabile dal 17 gennaio 2025.
Qual è il ruolo dell’Agenzia Nazionale per la Cybersicurezza (ACN) in Italia?
L’ACN è l’Autorità Nazionale Competente per l’attuazione e la vigilanza della Direttiva NIS2 in Italia. Svolge un ruolo cruciale nella registrazione dei soggetti, nella ricezione delle notifiche di incidenti e nell’applicazione delle misure di sorveglianza e sanzione.
Le piccole e medie imprese (PMI) sono interessate da queste normative?
Sì, la Direttiva NIS2 si applica generalmente alle entità che superano determinate soglie dimensionali (PMI medie o grandi). Tuttavia, le PMI che operano come fornitori unici di servizi critici o che sono considerate fornitori terzi critici di ICT (nel caso di DORA) possono comunque rientrare nell’ambito di applicazione, indipendentemente dalle loro dimensioni.
Quali sono le sanzioni per la non conformità alla NIS2?
Le sanzioni per la mancata conformità sono significative. Per le Entità Essenziali, possono arrivare fino a 10.000.000 di euro o al 2%del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Per le Entità Importanti, le sanzioni arrivano fino a 7.000.000 di euro o all’1,4% del fatturato mondiale.
Fonti Informative Attendibili:
- Commissione Europea – Strategia di Cybersicurezza: https://digital-strategy.ec.europa.eu/it/policies/cybersecurity-policies
Giornalista e analista, scrive di economia italiana, innovazione e imprese. Appassionato di tecnologia e finanza, racconta il presente e il futuro delle aziende che fanno muovere il Paese.
