Attualità

Cybersecurity: dall’Europa sanzioni più salate per pubblici e privati

Le sfide digitali in tema di cybersecurity sono molteplici soprattutto in un’epoca, come quella attuale, in cui i dati personali sono sempre più esposti a rischi di violazione, furto, manipolazione o uso improprio. 

Il dilagare degli attacchi informatici ha portato il legislatore europeo ad attenzionare il fenomeno con un imprescindibile inasprimento delle pene in caso di mancata conformità delle normative locali, ed invero, per evitare sanzioni amministrative pecuniarie che partono da 7.000.000 euro fino al 2 % del fatturato mondiale annuo (se superiore), dallo scorso 18 ottobre, aziende ed Enti Pubblici sono obbligati ad adottare misure specifiche per la gestione dei rischi di cybersicurezza, per la segnalazione delle violazioni e per la condivisione di informazioni sulla cibersicurezza. 

Questo è quanto statuisce la Direttiva Europea NIS 2 che, di fatto, abroga la precedente Direttiva UE 2016-1148 (Direttiva NIS), imponendo a tutti gli stati membri di adottare, nel proprio impianto legislativo, provvedimenti che la rispettino nei settori ritenuti ad “Alta Criticità” per la sicurezza informatica, nell’ambito dei quali rientrano quello dell’energia (energia elettrica, teleriscaldamento, teleraffrescamento, petrolio, gas e idrogeno, trasporti (aerei, ferroviari, marittimi, stradali), banche e mercati finanziari, sanità, acque (potabile e reflue), infrastrutture digitali e gestione servizi ITC, Pubblica Amministrazione, spazio e altri settori definiti “Critici” per la cybersecurity quali i servizi postali e di Corriere, la gestione rifiuti, chimica, alimentare, elettronica, servizi digitali e ricerca. 

In particolare, in base alla nuova norma, aziende ed enti pubblici dovranno uniformarsi attraverso l’adozione di un Sistema di Gestione dei Rischi Cybersecurity; la formazione cybersecurity obbligatoria periodica per i membri dell’organo di gestione amministrativa e per tutti i dipendenti e collaboratori; nonché adottare misure tecniche operative ed organizzative adeguate e proporzionate a gestire i rischi di sicurezza dei sistemi informativi e di rete; ed ancora, l’adozione di un Sistema Gestione delle Segnalazione degli Incidenti di Sicurezza. 

La direttiva rappresenta, pertanto, un passo in avanti verso il rafforzamento della cybersecurity all’interno dell’Unione Europea, dove la protezione dei dati nelle aziende sta assumendo una rilevanza sempre crescente divenendo, di fatto, uno dei principali compiti della cybersicurezza, comunemente indicata con il termine “data protection” ovvero l’insieme delle norme e delle pratiche per garantire la protezione dei dati personali che riguardano le persone fisiche. 

A tal riguardo è opportuno sottolineare la necessità di un approccio strategico che veda la partecipazione attiva di tutti gli attori, fra cui, non può mancare la figura del data protection officer (DPO) professionista esperto in materia di data protection, con competenze giuridiche ed informatiche, introdotta dalla normativa europea nota come GDPR, General Data Protection Regulation, entrata in vigore il 25 maggio 2018: figura, peraltro, obbligatoria per alcune categorie di soggetti sia pubblici che privati.