Home 5 Rassegna Stampa 5 Come l’ Europa vuole cambiare le regole sulla cybersecurity

Come l’ Europa vuole cambiare le regole sulla cybersecurity

La revisione della direttiva Nis darà una nuova classificazione alle aziende per valutare il livello di difese informatiche da adottare
La revisione della direttiva Nis darà una nuova classificazione alle aziende per valutare il livello di difese informatiche da adottare

Richiede quindi a tali soggetti di adottare misure tecniche e organizzative adeguate e proporzionate rispetto alla gestione dei rischi cybersicurezza, nonché a prevenire e minimizzare l’ impatto degli eventuali incidenti di sicurezza subiti. La Direttiva NIS 1 tuttavia è stata recepita differentemente all’ interno degli stati membri dell’ Ue tanto che, nel 2019, la Commissione europea ha ritenuto necessario fare il punto della situazione per valutare la coerenza degli approcci adottati dagli stati membri. La relazione della Commissione europea ha confermato la frammentarietà delle disposizioni a livello europeo , con particolare attenzione alla identificazione degli operatori dei servizi essenziali vincolati alle disposizioni normative, cosicché la copertura dei settori ritenuti essenziali è risultata – in alcuni casi – troppo limitata. La Commissione Ue ha quindi ritenuto opportuno presentare una proposta di revisione della Direttiva NIS (la c.d. Direttiva NIS 2), la cui prima bozza è stata adottata dalla Commissione Industria, Ricerca ed Energia del Parlamento Europeo a fine ottobre 2021. La direzione Benché i passi per l’ approvazione definitiva siano ancora molti, l’ attuale documento fornisce già un quadro preciso di come la Direttiva andrà a cambiare. La Direttiva NIS 2 infatti non distinguerà più tra operatori di servizi essenziali e fornitori di servizi digitali ma classificherà le società in ‘ essenziali ‘ o ‘ importanti ‘ , estendendo – al contempo – i settori di applicazione. Saranno assoggettati alla Direttiva NIS 2 società originariamente escluse: dal settore della gestione dei rifiuti a quello aerospaziale, dalle società che volgono servizi postali ai settori di produzione e distribuzione di prodotti chimici. Gli impatti maggiori però si verificheranno, quantomeno in termini di organizzazione, su settori come quello della produzione e distruzione alimentare, che vedranno verosimilmente coinvolte numerose società italiane del food & beverage, nonché sulla pubblica amministrazione. Al tempo stesso, sembrano essere più ovvie le scelte relative alla estensione delle regole di cybersicurezza a settori come quelli di produzione dei dispositivi medici, peraltro già coperte da specifiche disposizioni a livello sempre europeo, e delle apparecchiature elettroniche, per loro conformazione più soggette e rischi cyber. Un ulteriore obiettivo della Direttiva NIS 2, oltre all’ allargamento del numero di soggetti destinatari delle prescrizioni cyber, è quello di ridurre le incongruenze tra gli stati membri rispetto al livello di sicurezza comune dei sistemi informatici . In tale ottica, la Direttiva NIS 2 impone delle misure minime di sicurezza che rimangono generali (benché più specifiche rispetto alla NIS 1). Solo per citarne alcune, la normativa richiede un’ attenzione maggiore alla gestione del rischio sulla supply chain, nonché un obbligo di utilizzo di sistemi di crittografia, che tuttavia sono da considerarsi standard nel settore della sicurezza cibernetica. Lo scopo è quello di continuare a garantire una certa flessibilità agli stati membri per essere certi che la Direttiva non comporti obblighi troppo onerosi per le imprese che operano in settori molto diversi tra loro. In tale contesto quindi l’ adeguatezza delle misure deve essere comunque valutata caso per caso. La Direttiva NIS prima e ora la Direttiva NIS 2 si inseriscono in un piano normativo di estensione degli obblighi di cybersicurezza , aldilà di quanto già previsto dalla normativa sul trattamento dei dati personali. In Italia infatti, questa normativa è stata completata dalla disciplina su perimetro di sicurezza cibernetica e dai provvedimenti di settore relativi ad esempio ai servizi finanziari e assicurativi. Allo stesso modo, l’ adozione di misure di sicurezza è fondamentale per poter valorizzare i propri segreti industriali e poter agire per la tutela dei propri diritti in caso di sottrazione.

FONTE: https://www.wired.it

Potrebbe interessarti anche