La Direttiva NIS, adottata nel 2016, è stata la prima normativa europea specificamente rivolta alla sicurezza delle reti e dei sistemi informativi. Si applica agli operatori di servizi essenziali (come energia, trasporti, sanità, finanza) e ai fornitori di servizi digitali (motori di ricerca, piattaforme online, servizi cloud).

Principali Requisiti:

• Implementazione di misure di sicurezza appropriate per garantire un livello elevato di sicurezza delle reti e dei sistemi informativi.
• Obbligo di notifica degli incidenti di sicurezza significativi.
• Sviluppi Recenti: È stata recentemente aggiornata con la **Direttiva NIS2** (approvata nel 2022 e con implementazione prevista per il 2024) per estendere gli obblighi a più settori e introdurre requisiti di sicurezza più rigorosi.

La Direttiva NIS, in vigore dal 2018, è la prima normativa europea specificamente dedicata alla sicurezza delle reti e dei sistemi informativi. Si applica alle infrastrutture critiche, ai fornitori di servizi digitali e ai principali settori come energia, trasporti e sanità.

Obiettivi principali:

• Rafforzare la resilienza informatica dell’UE, migliorare la cooperazione tra gli Stati membri e aumentare la sicurezza degli operatori essenziali e dei fornitori di servizi digitali.
• Sviluppi recenti: La Direttiva NIS 2, prevista per il 2024, rafforzerà ulteriormente gli obblighi di sicurezza e amplierà il campo di applicazione della normativa.

Entrato in vigore nel 2019, il Cybersecurity Act istituisce un quadro europeo per la certificazione della sicurezza informatica di prodotti, servizi e processi ICT (tecnologie dell’informazione e della comunicazione).

Principali Requisiti:

• Sistema di certificazione europeo per la sicurezza informatica che crea uno standard comune per certificare il livello di sicurezza di prodotti e servizi.
• Rafforzamento del ruolo di ENISA, l’Agenzia dell’Unione europea per la sicurezza informatica, la cui missione è sostenere i paesi membri nella gestione dei rischi e nella preparazione e risposta agli incidenti.
• Obiettivo: Aumentare la fiducia dei consumatori e migliorare la sicurezza delle infrastrutture critiche e degli strumenti digitali in tutta l’UE.

Il regolamento eIDAS, entrato in vigore nel 2014, disciplina l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nell’UE, come la firma elettronica, i sigilli elettronici e i servizi di autenticazione.

Principali Requisiti:

• Stabilisce standard per firme elettroniche qualificate e sigilli elettronici, fornendo valore legale.
• Creazione di un mercato unico europeo per i servizi di identificazione elettronica.
• Impatto sulla Cybersecurity: Garantisce l’autenticità, l’integrità e la sicurezza delle transazioni elettroniche, riducendo i rischi associati alle frodi digitali.

La seconda Direttiva sui Servizi di Pagamento (PSD2), in vigore dal 2018, si applica alle transazioni finanziarie e stabilisce requisiti per proteggere i consumatori nell’ambito dei pagamenti online.

Principali Requisiti:

• Autenticazione Forte del Cliente (SCA): Richiede metodi di autenticazione a due fattori per proteggere le transazioni online.
• Open Banking: Fornisce ai clienti maggiore controllo sui dati finanziari e consente alle terze parti autorizzate di accedere ai dati bancari con il consenso del cliente.
• Impatto sulla Cybersecurity: Rafforza la sicurezza dei pagamenti online e delle informazioni finanziarie per ridurre frodi e rischi.

Il Data Governance Act, proposto nel 2020 e adottato nel 2022, fa parte della strategia europea per i dati e stabilisce un quadro per una gestione più sicura dei dati in tutta l’UE.

Principali Requisiti:

• Creazione di un mercato europeo per i dati, promuovendo la condivisione sicura dei dati tra enti pubblici e privati.
• Regole chiare e trasparenti per i fornitori di servizi di intermediazione dei dati.
• Impatto sulla Cybersecurity: Promuove una gestione sicura dei dati, con particolare attenzione alla protezione della privacy e alla sicurezza durante il trasferimento dei dati.

Il DORA è una normativa europea, approvata nel 2022, mirata alla resilienza operativa digitale del settore finanziario. Entra in vigore nel 2025 e mira a garantire che le istituzioni finanziarie possano resistere e reagire agli attacchi informatici e agli incidenti tecnologici.

Principali Requisiti:

• Richiede alle istituzioni finanziarie di adottare pratiche di gestione dei rischi ICT.
• Introduce obblighi di monitoraggio e reporting di incidenti ICT e richiede che i fornitori di servizi critici rispettino elevati standard di sicurezza.
• Impatto sulla Cybersecurity: Rafforza la sicurezza informatica del settore finanziario, migliorando la protezione dei dati sensibili e riducendo il rischio di interruzioni.

La nuova Strategia Europea per la Cybersecurity, pubblicata nel 2020, si basa su una serie di misure strategiche per migliorare la sicurezza informatica in Europa. Include proposte per aggiornare la Direttiva NIS e rafforzare la collaborazione tra Stati membri.

Obiettivi:

• Rafforzare la resilienza delle infrastrutture critiche e degli asset strategici.
• Proteggere meglio i cittadini europei online e promuovere una cybersicurezza che tuteli i diritti e le libertà fondamentali.
• Impatto: La strategia fornisce una roadmap per affrontare le minacce informatiche in modo coordinato e sostiene la cooperazione e la condivisione delle risorse tra i Paesi membri.

La Direttiva CER, approvata nel 2022, aggiorna e amplia la precedente normativa sulle infrastrutture critiche. È mirata a rafforzare la resilienza delle entità che forniscono servizi essenziali, come acqua, trasporti e sanità, a cui la sicurezza informatica è fondamentale.

Principali Requisiti:

• Obbligo di valutare e gestire i rischi per la sicurezza, inclusi quelli informatici, e di notificare gli incidenti significativi.
• Richiede la creazione di piani di continuità operativa e risposta agli incidenti per le entità critiche.
• Impatto sulla Cybersecurity: Migliora la protezione delle infrastrutture critiche, che sono spesso obiettivi di attacchi informatici sofisticati.