Sicurezza cibernetica, protezione dei dati e digital identity
Il quadro normativo
La sicurezza cibernetica e la protezione dei dati sono ormai diventate due priorità per l’Unione Europea.
Con l’aumento delle minacce informatiche e la crescente dipendenza dalle tecnologie, l’UE ha introdotto diverse normative per rafforzare la sicurezza e la fiducia nel digitale.
Tra queste, le Direttive NIS (Network and Information Security) e NIS 2 – recepite nell’ordinamento italiano con il Perimetro Nazionale di Sicurezza Cibernetica – e il nuovo regolamento eIDAS 2 emergono come pilastri fondamentali.
Queste normative riflettono un impegno congiunto tra Unione e Stati Membri per creare un ambiente digitale sicuro, resiliente e affidabile, in grado di affrontare le sfide poste dalla digitalizzazione a livello globale.
L’articolo esplora il contesto, l’impatto e le interazioni di queste normative, evidenziando la loro rilevanza nell’attuale panorama digitale.
La Direttiva NIS (Network and Information Security)
La Direttiva NIS (n°1148/2016) ha rappresentato un passo significativo verso l’adozione di un approccio comune per garantire la sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. L’obiettivo principale della direttiva era quello di aumentare il livello generale di sicurezza cibernetica negli Stati membri, concentrando l’attenzione sulle infrastrutture critiche in settori essenziali come, ad esempio, energia, trasporti, salute e finanza.
La NIS ha stabilito un quadro per la condivisione delle informazioni sulle minacce cibernetiche e ha richiesto agli Stati membri di adottare strategie nazionali di cyber-sicurezza e designare autorità competenti. Inoltre, la Direttiva richiede agli operatori di servizi essenziali (OSE) e ai fornitori di servizi digitali (FSD) l’obbligo di adottare misure di sicurezza adeguate e di segnalare gravi incidenti informatici alle autorità nazionali.
Gli sviluppi che hanno portato alla Direttiva NIS 2
La Direttiva NIS 2 (n°2555/2022, entrata in vigore a gennaio 2023) rappresenta una revisione e un ampliamento della NIS originale, andando a colmare le lacune e ad adattarsi alle nuove sfide della cybersecurity europea.
Adottata per rispondere alla crescente quantità e gravità delle minacce informatiche, NIS 2 include una gamma più ampia di settori e servizi, come quelli nel campo della sanità pubblica, dei rifiuti e della produzione di dispositivi medici e introduce misure più rigorose per la gestione dei rischi e la segnalazione degli incidenti, con l’obiettivo di migliorare la cooperazione e il coordinamento tra gli Stati membri.
La Direttiva NIS 2 rafforza anche il ruolo dell’ENISA, l’Agenzia dell’Unione Europea per la Cybersecurity, fornendo maggiore supporto e risorse per la condivisione delle informazioni e l’analisi delle minacce.
Perimetro Nazionale di Sicurezza Cibernetica
Poiché lo strumento della direttiva non prevede la diretta applicabilità, spetta agli Stati membri recepirlo nel proprio ordinamento e stabilire chiaramente, nel caso della NIS, quali asset, sistemi e servizi considerare vitali per il funzionamento dello Stato e della società.
L’Italia ha scelto di introdurre nel proprio ordinamento i contenuti della NIS tramite il Perimetro Nazionale di Sicurezza Cibernetica. I lavori sono iniziati con il Decreto-legge 21 settembre 2019, n. 105, convertito nella legge 133/2019 e si sono conclusi, al termine di una serrata stratificazione di decreti, con il Decreto del presidente del Consiglio dei Ministri 15 giugno 2021 e la legge 109/2021.
Il Perimetro è inteso a creare una maggiore consapevolezza e a rafforzare la resilienza contro le minacce cibernetiche, imponendo standard di sicurezza più elevati e promuovendo la collaborazione tra il settore pubblico e quello privato.
Il focus di questa normativa si concentra sulla protezione delle infrastrutture critiche, includendo settori chiave come l’energia, i trasporti, la finanza e le telecomunicazioni.
Il Perimetro rappresenta un passo fondamentale per integrare la sicurezza cibernetica nella pianificazione e nella gestione delle infrastrutture nazionali, in quanto riconosce espressamente l’importanza di proteggere queste risorse dagli attacchi informatici.
La protezione dei dati in relazione alla direttiva NIS
Il rapporto tra la Direttiva NIS e il Regolamento Generale sulla protezione dei dati (meglio noto come GDPR) si ritrova nella comune finalità di rafforzare la sicurezza e la resilienza delle informazioni all’interno dell’Unione Europea.
La relazione tra il GDPR e la Direttiva NIS è complessa ma sinergica, riflettendo uno sforzo comune per la gestione dei dati e la sicurezza informatica nell’UE.
In primo luogo, entrambe le normative richiedono misure di sicurezza robuste. In particolare il GDPR si concentra sulla protezione dei dati personali, imponendo agli enti di implementare misure tecniche e organizzative adeguate al fine di prevenire violazioni dei dati. Parallelamente, la Direttiva NIS richiede misure di sicurezza simili, ma con un focus più ampio sulla protezione delle reti e dei sistemi informativi.
In secondo luogo, le due normative si complementano e si rafforzano a vicenda. Mentre il GDPR impone la notifica obbligatoria di violazioni di dati personali, la Direttiva NIS estende questo obbligo agli incidenti che impattano significativamente la continuità dei servizi essenziali. Questo allineamento assicura che le organizzazioni non solo proteggano i dati personali, ma anche che prevengano o mitighino gli effetti di eventuali incidenti cibernetici.
Infine, GDPR e NIS trattano aspetti complementari degli incidenti informatici: il GDPR si concentra sulle conseguenze di tali incidenti riguardo i dati personali e la privacy degli individui, mentre la Direttiva NIS affronta la resilienza e la sicurezza delle infrastrutture critiche. Questa distinzione sottolinea l’importanza di un approccio integrato alla sicurezza, nel quale la protezione dei dati personali e la sicurezza delle infrastrutture critiche figurano come componenti interconnesse di un unico ecosistema digitale sicuro.
Il Nuovo Regolamento eIDAS 2
Un ulteriore regolamento finalizzato a rafforzare la fiducia nei servizi digitali all’interno dell’Unione Europea, modernizzando il quadro normativo, è eIDAS 2, una revisione del regolamento eIDAS del 2014 attualmente in fase di approvazione.
Questo nuovo regolamento, oltre a portare novità in materia di identità digitale, vuole facilitare transazioni digitali più sicure, affidabili e trasversali, estendendo il suo ambito a una gamma più ampia di servizi. eIDAS 2 introduce norme più stringenti per i servizi di identificazione elettronica, firma elettronica, sigilli elettronici e servizi di consegna elettronica certificati.
La revisione del Regolamento eIDAS si concentra sull’incremento della sicurezza e della resilienza di questi servizi, promuovendo l’adozione di identità digitali sicure e riconosciute in tutta l’UE: eIDAS 2 gioca un ruolo cruciale nell’accelerare la digitalizzazione dei servizi pubblici e privati, garantendo al contempo la fiducia e la sicurezza nelle interazioni digitali.
Il rapporto tra eIDAS 2 e le normative viste in precedenza
Il regolamento eIDAS 2, il GDPR, la Direttiva NIS e la NIS 2 creano, nell’insieme, un quadro normativo complesso ma omogeneo, in cui la fiducia nei servizi digitali non può prescindere da un generale rafforzamento della sicurezza cibernetica e dal rispetto “by design” della protezione dei dati personali.
Al contempo, questo intreccio di normative richiede un approccio coordinato da parte degli Stati membri e delle aziende, soprattutto al fine di garantire l’operatività e la continuità del business nel quotidiano. Le organizzazioni, infatti, devono assicurarsi che le proprie pratiche, politiche, processi e procedure siano conformi a tutti questi regolamenti, affrontando la sicurezza cibernetica, la fiducia digitale e la protezione dei dati in modo armonizzato.
L’adattamento al cambiamento normativo è una delle sfide per le aziende digitali: è fondamentale offrire servizi online affidabili e sicuri, usare i dati dei propri clienti in modo conforme alla normativa, dotarsi di infrastrutture resilienti e aggiornate agli ultimi standard di cyber sicurezza, affidarsi a una supply chain che dimostri standard altrettanto elevati.
Un’Europa cyber-resiliente
NIS, NIS 2, il Perimetro Nazionale di Sicurezza Cibernetica e il prossimo regolamento eIDAS 2 sono elementi chiave per costruire un ambiente digitale sicuro e resiliente. La loro interconnessione non solo rafforza la protezione delle infrastrutture critiche e dei dati personali, ma promuove anche la fiducia nelle interazioni digitali, un aspetto cruciale per l’evoluzione della società e dell’economia digitale.
Per rispondere a queste esigenze l’Unione Europea ha lanciato un corposo programma di finanziamento chiamato DIGITAL Europe Programme, mirato all’introduzione della tecnologia digitale alle imprese, alla cittadinanza e alle Pubbliche Amministrazioni, con particolare riguardo allo sviluppo di competenze tecniche, normative e gestionali in materia di sicurezza dei sistemi e delle informazioni.
Tra le iniziative più ambiziose finanziate dal Programma, spicca il progetto Digitl4Security, attraverso il quale un partenariato di aziende, tra cui ReD OPEN, e istituzioni accademiche europee punta a formare le professioniste e i professionisti della cybersecurity del futuro grazie all’istituzione di Master di specializzazione dedicati.
Queste normative non sono solo una risposta alle minacce del presente, ma sono anche un investimento per creare un ambiente digitale europeo più sicuro in futuro: i servizi legati all’utilizzo della Digital Identity e di quello che si chiamerà European Digital Identity Wallet poggiano le proprie fondamenta sulla robusta architettura che l’Unione ha predisposto in questi ultimi anni con le normative evidenziate in materia di cybersecurity e data protection.
L’armonizzazione tra la sicurezza cibernetica e la protezione dei dati è una pietra miliare per garantire un futuro digitale sicuro e prospero per tutti i cittadini e le aziende nell’Unione Europea.