Studio Legale Meliadò
Cybersecurity: Evoluzione del quadro normativo europeo e nazionale
Cybersecurity: Evoluzione del quadro normativo europeo e nazionale
Gli attacchi informatici sono in crescita e utilizzano tecniche sempre più sofisticate, pertanto è necessario utilizzare sistemi per bloccare questi attacchi che siano sempre più innovativi e idonei per gestire l’attacco informatico.
A livello globale la maggior parte degli attacchi gravi è finalizzata al cybercrime, ossia l’attività criminale effettuata mediante l’utilizzo di strumenti informatici.
I settori più colpiti nel 2018 da attacchi gravi sono davvero vari: la pubblica amministrazione (destinataria del 16% delle azioni), sanità (10%), settori bancario e finanziario, la ricerca, le infrastrutture critiche.
La tecnica di attacco più utilizzata è quella del malware, ossia i programmi inseriti in un sistema informatico con l’intenzione di compromettere la riservatezza, l’integrità o la disponibilità dei dati, delle applicazioni o dei sistemi operativi. Il 25% delle tecniche utilizzate negli attacchi è sconosciuta.
In ambito europeo, il governo della cybersecurity è considerato da tempo un elemento fondamentale della politica volta ad accompagnare la trasformazione digitale. Nel 2004 viene istituita L’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (European Union Agency for Network and Information Security – ENISA) la quale ha il compito di assicurare un livello di sicurezza elevato nel mercato interno e sviluppare una cultura in materia di sicurezza delle reti e dell’informazione tra i cittadini, imprese e pubbliche amministrazioni.
Nel 2016 con l’adozione della direttiva (UE) 2016/1148 (cd. Direttiva NIS- Network and Information System), si perseguono principalmente due obbiettivi: da un lato mira ad assicurare una governance adeguata in tutti gli Stati membri e integrata a livello europeo; dall’altro pone una serie di obblighi in materia di sicurezza in capo agli operatori di servizi essenziali e ai fornitori di servizi digitali. Il funzionamento concreto della direttiva NIS verrà esaminato dalla Commissione europea nel 2021 con particolare riferimento alla collaborazione e cooperazione strategica tra i vari Stati membri.
Oltre a queste misure specifiche sulla cibersicurezza, il quadro normativo europeo include altre discipline che rafforzano il livello di sicurezza nel mercato unico digitale: Regolamento generale sulla protezione dei dati personali (GDPR), il regolamento eIDAS, la direttiva 2013/40/UE ralativa agli attacchi contro i sistemi di informazione, il regolamento (UE) 2019/452 che istituisce un quadro per il controllo degli investimenti esteri diretti nell’Unione.
Da ultimo il 17 Aprile 2019 è stato approvato il regolamento UE 2019/881 del Parlamento europeo e del Consiglio (cd. Cybersecurity Act) che prevede il rafforzamento del ruolo dell’Enisa nella governance europea della cybersecurity e istituisce un quadro europeo per la certificazione della sicurezza informatica di prodotti, servizi e processi ICT.
In ambito nazionale una struttura per la cibersicurezza è stata disegnata con DPCM del 24 gennaio 2013, sostituito con DPCM del 17 febbraio 2017 (“Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informativa nazionale”).
Disposizioni in materia di sicurezza informatica erano già contenute nel Codice dell’amministrazione digitale, con attribuzione di alcune funzioni all’Agenzia per l’Italia digitale (AgID). La direttiva NIS è stata è stata recepita con il decreto legislativo 18 maggio 2018, n. 65 e a dicembre dello stesso anno sono stati identificati 465 operatori di servizi essenziali attivi sul territorio nazionale soggetti agli obblighi previsti dalla direttiva NIS.
Nel luglio 2019 le autorità nazionali hanno adottato linee guida operative per la gestione, la prevenzione e la mitigazione dei rischi cyber, a cui gli operatori dovranno adeguarsi.
Con il decreto legge n.105/2019 il sistema è stato ulteriormente rafforzato attraverso l’individuazione di un “perimetro di sicurezza nazionale cibernetica”, che pone in capo a determinati soggetti pubblici e privati ulteriori obblighi in tema di cybersecurity, accompagnati da un sistema di vigilanza e da un regime sanzionatorio.