La cybersecurity è diventata una priorità assoluta a livello globale, con l’aumento esponenziale delle minacce informatiche e la crescente dipendenza dalle tecnologie digitali. Inoltre, negli ultimi anni, l’Unione Europea (UE) ha compiuto significativi passi avanti nel campo della cybersecurity attraverso una serie di importanti iniziative e normative. In Italia anche l’Agenzia Nazionale di Cybersecurity (ACN) si sta adoperando per supportare la cyber resilienza delle organizzazioni.
Di seguito una panoramica del quadro normativo europeo e nazionale in termini di cybersecurity.
Strategia e quadro normativo europei di cybersecurity
La strategia di cybersecurity dell’UE si propone di potenziare la sicurezza collettiva e migliorare la capacità di risposta ai cyber attacchi, oltre a costruire un internet globale stabile e sicuro. Al contempo, essa garantisce la protezione dello stato di diritto, dei diritti umani e dei valori democratici. La strategia UE si articola in tre principali ambiti d’azione, quali:
- Resilienza, sovranità tecnologica e leadership;
- Capacità operativa per prevenire, scoraggiare e rispondere agli attacchi;
- Cooperazione per promuovere uno spazio cibernetico globale e aperto.
In quest’ottica l’UE ha emanato diverse direttive e regolamentazioni. Di seguito le principali (in ordine alfabetico).
AI Act
Il regolamento sull’intelligenza artificiale, applicabile da dicembre 2024, stabilisce requisiti specifici per i sistemi IA ad alto rischio, inclusi quelli impiegati nella sicurezza critica.
CER (Critical Entities Resilience Directive)
In vigore da ottobre 2024, mira a garantire una maggiore resilienza informatica dei soggetti critici che forniscono servizi essenziali, oltre a migliorare la cooperazione e la comunicazione tra i soggetti critici a livello di area europea.
Cybersecurity Act
Entrato in vigore nel 2019, rafforza il ruolo dell’ENISA (Agenzia europea per la cybersecurity) ed ha creato un quadro europeo per la certificazione della cybersecurity, con l’obiettivo di garantire un elevato livello di sicurezza per i prodotti e i servizi ICT.
Cyber Solidarity Act
Entrato in vigore a gennaio 2025, mira a rafforzare le capacità comuni dell’UE in termini di rilevamento, di consapevolezza della situazione e di risposta, oltre a fornire una riserva di sicurezza informatica a livello UE con servizi di fornitori privati affidabili e a supportare i test delle entità critiche.
DORA (Digital Operational Resilience Act)
Applicabile da gennaio 2025, si focalizza sulla resilienza operativa digitale del settore finanziario e stabilisce requisiti stringenti per la gestione dei rischi ICT, per la segnalazione di incidenti e per la gestione dei fornitori.
GDPR (General Data Protection Regulation)
In vigore dal 2018, è il regolamento fondamentale per la protezione dei dati personali. Esso richiede misure tecniche e organizzative adeguate a garantire la sicurezza dei dati.
NIS2 (Network and Information Systems Directive)
La direttiva – recepita in Italia a ottobre 2024 con il Decreto legislativo n. 168/2024 – impone requisiti di sicurezza più rigorosi rispetto alla versione precedente. La NIS2 si applica agli operatori di servizi essenziali e importanti e ai fornitori di servizi digitali, estendendo l’obbligo a un numero maggiore di entità in settori quali: energia, trasporti, salute e infrastrutture digitali. Inoltre, la direttiva richiede specifici requisiti di sicurezza, l’obbligo di notifica degli incidenti e una gestione accurata dei fornitori.
E in Italia?
Anche il nostro Paese ha intrapreso diverse iniziative per garantire la sicurezza informatica deivari ecosistemi nazionali e, precisamente:
Agenzia per la Cybersicurezza Nazionale (ACN) – L’ACN, Istituita nel 2021, è l’organismo governativo italiano responsabile della sicurezza e della resilienza nello spazio cibernetico e coordina le azioni di tutti gli attori coinvolti nella cybersicurezza, promuovendo una cultura della sicurezza digitale e proteggendo gli interessi nazionali.
Perimetro di Sicurezza Nazionale Cibernetica (PSNC) – Pubblicato in Gazzetta Ufficiale nel novembre 2019, il PSNC rappresenta uno sforzo per proteggere lo spazio cibernetico da minacce sofisticate, applicandosi a livello nazionale a una vasta gamma di soggetti, inclusi enti pubblici e aziende private in settori strategici. Il PNSC impone l’adozione di misure di cybersecurity specifiche per proteggere le infrastrutture critiche.
Misure di Sicurezza previste dal PSNC – Si tratta di politiche di valutazione e di gestione del rischio, di piani di sicurezza, di misure di protezione dei dati, di monitoraggio continuo e proattivo, oltre a procedure di incident response con segnalazione tempestiva al CSIRT.
Strategia Nazionale di Cybersicurezza 2022-2026 – L’ACN, attraverso questa strategia, mira a garantire la resilienza del Paese delineando linee guida per: proteggere gli asset strategici; promuovere una transizione digitale sicura; anticipare le minacce informatiche. La strategia prevede n. 82 misure entro il 2026, in termini di: sensibilizzazione, collaborazione pubblico-privata, investimenti in ricerca e sviluppo e cooperazione internazionale.
ISAC Italia (Information Sharing and Analysis Center) – Si tratta di un’iniziativa parte della Strategia per la cyber security. Di fatto, ISAC Italia unisce in una rete unica gli ISAC settoriali per raccogliere, analizzare e condividere le informazioni in modo bidirezionale e multisettoriale, integrandosi nello European Cyber Shield.
Legge 90/2024 sulla cybersicurezza e compliance integrata – Si tratta del DDL “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, in vigore dal 17 luglio 2024. Esso mira a introdurre e armonizzare una vasta gamma di tematiche nel campo della cybersecurity. Tra queste, si includono: la governance, gli obblighi di notifica degli incidenti, i requisiti di cybersicurezza nei contratti pubblici e le restrizioni per l’assunzione di specifiche professionalità provenienti dal settore della cybersecurity pubblica e della sicurezza nazionale.
Conclusione
Grazie agli sforzi concertati dell’UE, è stato creato un ecosistema normativo che non solo mira a rafforzare la cyber resilience, ma anche a promuovere una cultura condivisa della cybersecurity. In Italia, l’ACN, in linea con il quadro europeo, sta adottando misure concrete per diffondere la cultura della cybersecurity su scala nazionale.
Oggigiorno, il “digital wild west” in cui stiamo vivendo presuppone l’implementazione di una strategia “corale” atta a garantire un approccio integrato e coordinato tra gli Stati membri in modo da assicurare non solo una difesa efficace contro le minacce cibernetiche, ma anche la protezione dei diritti fondamentali e dei valori democratici dei cittadini europei.
Cybsec-news.it vi invita alla seconda edizione della CYBSEC EXPO, in programma a Piacenza dal 21 al 23 Maggio 2025.
