- Data breach, Garante Privacy sanziona Postel per 900mila euro Una vulnerabilità, nota da tempo, ha reso inadeguate le misure di sicurezza e agevolato l’attacco
- Garante: stop al software che accede all’email del dipendente Sanzione di 80mila euro a un’azienda che effettuava i backup durante il rapporto di lavoro
- Calendario Corsi Videoconferenza Novembre – Dicembre 2024
- Le prime indicazioni dell’Ispettorato sulla patente a crediti
- D.lgs. resilienza dei soggetti critici, ok del Garante ma più tutele per la privacy
- Dal Garante Privacy sanzione di 5mln di euro a un fornitore di luce e gas Agenti porta a porta attivavano contratti non richiesti a clienti ignari
- Calendario Corsi Videoconferenza Settembre – Ottobre 2024
- L’obbligo di impedire l’instaurarsi di prassi di lavoro non sicure
- L’obbligo di Vigilanza del Datore di Lavoro sul comportamento del Preposto
- Telemarketing, dal Garante sanzione di oltre 6 milioni di euro a Eni Plenitude Dei 747 contratti stipulati in una “settimana campione”, 657 sono arrivati da un contatto illecito
- Il tempo di cui l’RSPP deve disporre per poter svolgere i suoi compiti
- GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT
- Concorsi della P.A.: online solo le graduatorie definitive dei vincitori Il Garante sanziona l’INPS per illecita diffusione di dati personali
- Calendario Corsi Videoconferenza Giugno – Luglio 2024
- Telemarketing: dal Garante Privacy sanzioni di 100mila euro a due gestori di energia Telefonate senza consenso e attivazione di contratti non richiesti
- Lavoro: Garante Privacy, il dipendente ha il diritto di accedere ai propri dati Sanzione di 20mila euro ad una banca
- GDPR: L’ importante ruolo del “Referente privacy”
- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
Cybersecurity, cosa cambierà con la Direttiva Nis 2 nell’Ue
Raggiunto un accordo sulla Direttiva Nis 2: principali novità della legislazione e soggetti interessati. L’analisi di Lucrezia Falciai, membro del Comitato Atlantico Italiano
Tra gli effetti del conflitto tra Russia e Ucraina vi è quello di aver posto l’accento sulla crescente importanza della cybersecurity delle infrastrutture critiche. Infatti, sebbene queste siano costantemente nel mirino di attori statali e non che sfruttano il cyberspazio per attività di intelligence o come mezzo di pressione psicologica, lo scontro in essere ha dimostrato come possano costituire veri e propri bersagli strategici che consentono di agevolare le attività svolte sui terreni tradizionali.
Come posto in evidenza da un recente report pubblicato da Microsoft, gli attacchi informatici stanno fornendo un supporto operativo allo scontro. Nel merito, tale rapporto evidenzia come, dall’inizio dell’invasione, vi siano stati diversi attori con interessi allineati a quelli di Mosca che hanno effettuato più di 237 operazioni contro l’Ucraina. Queste sono avvenute per lo più in concomitanza con le operazioni belliche russe, nonostante non sia chiaro se il coordinamento sia stato volontario o meno.
Sull’onda dei numerosi attacchi che stanno colpendo anche Stati membri dell’Unione europea, questa parrebbe aver spinto il piede sull’acceleratore in materia di cybersecurity. Infatti, ad aprile è stata pubblicata una bozza di Regolamento volto ad incrementare i livelli di sicurezza cibernetica delle istituzioni, organi e agenzie europee. Inoltre, alla fine della scorsa settimana, il Parlamento ha raggiunto un accordo con gli Stati membri sulla cosiddetta Direttiva Nis 2, recante misure per un livello comune elevato di cybersecurity nell’Unione, che aggiornerà quella del 2016, che, in maniera analoga, si poneva come obiettivo di incrementare i livelli di sicurezza delle reti e dei sistemi informativi degli Stati membri.
Guardando alle principali novità della normativa e, quindi, ai principali obblighi che graveranno in capo ai soggetti pubblici e privati che saranno ricompresi nel suo ambito di applicazione, la Direttiva Nis 2 si applicherà a soggetti di medie e grandi dimensioni e, rispetto alla sua precedente versione, ricomprenderà un maggior numero di settori ritenuti critici per l’economia e la società, tra cui i fornitori di servizi pubblici di comunicazione elettronica e di servizi digitali, i gestori delle acque reflue e dei rifiuti, coloro che fabbricano prodotti critici, servizi postali e società di spedizioni, nonché pubbliche amministrazioni centrali e regionali. Inoltre, sarà ampliato il novero di soggetti operanti nel settore sanitario interessati dalla nuova normativa. Ad esempio, saranno inclusi i produttori di dispositivi medici, soprattutto in considerazione delle crescenti minacce emerse durante la pandemia Covid-19.
L’ampliamento dell’ambito di applicazione delle nuove norme, obbligando di fatto un maggior numero di entità e settori ad adottare nuove misure di gestione del rischio cyber, contribuirà ad aumentare il livello di sicurezza cibernetica in Europa nel medio e lungo termine. A tal fine, la Direttiva Nis 2 rafforzerà i requisiti di cybersecurity imposti alle aziende, affrontando, inter alia, il tema della sicurezza della catena di approvvigionamento e dei rapporti con i fornitori.
In aggiunta, una novità rilevante è costituita dall’introduzione di una responsabilità dei vertici aziendali in caso di mancato rispetto degli obblighi imposti dalla normativa e semplificherà gli obblighi di segnalazione degli incidenti informatici.
In definitiva, l’obiettivo della Direttiva Nis 2 è armonizzare l’approccio alla materia negli Stati membri, garantendo un’uniformità anche sul piano sanzionatorio. Inoltre, una particolare attenzione sarà prestata alla condivisione delle informazioni sugli incidenti rilevanti e alla cooperazione nella gestione delle crisi informatiche sia a livello nazionale, che europeo.
Nel nostro Paese il compito di supervisionare la corretta applicazione della normativa da parte dei soggetti pubblici e privati spetterà con grandissima probabilità alla neocostituita Agenzia per la Cybersicurezza Nazionale, che, ad oggi è, inter alia, l’autorità nazionale competente e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi.
Fonte: startmag.it
