# Cybersecurity: Nuove Regole per un Futuro più Sicuro
Il 17 ottobre 2024 segna una data cruciale per il rafforzamento della sicurezza informatica in Europa. La Commissione europea ha ufficialmente dato il via libera al Regolamento di esecuzione relativo alle misure di cybersicurezza e agli incidenti cyber significativi, in linea con la Direttiva NIS2, che mira a garantire un elevato livello di sicurezza informatica in tutto il continente. Questa direttiva è particolarmente importante in un’epoca in cui le minacce informatiche sono sempre più sofisticate e diffuse.
## Comprendere il Regolamento di Esecuzione
Il Regolamento di esecuzione si compone di 43 consideranda, 16 articoli e un Allegato che delinea norme dettagliate per la gestione della sicurezza informatica. Ma a chi si applica? Le norme si rivolgono a un ampio ventaglio di attori nel settore digitale, dalle società di servizi cloud ai fornitori di servizi IT e di sicurezza gestita, dai marketplace online ai motori di ricerca e alle piattaforme social. Questo approccio ampio riflette la crescente interconnessione in un mondo sempre più digitale.
### Obiettivi Principali
Il Regolamento si propone di delineare chiaramente le responsabilità delle diverse entità in caso di incidenti cybersecurity significativi. In particolare, l’articolo 1 stabilisce dei requisiti tecnici e metodologici per vari fornitori di servizi, delineando una roadmap chiara per affrontare le minacce informatiche.
## Quando un Incidente è Considerato Significativo
Uno degli aspetti chiave del Regolamento è la definizione di quando un incidente può essere considerato “significativo”. Secondo l’articolo 3, ci sono criteri specifici da considerare:
1. **Perdite economiche**: L’incidente provoca o potrebbe provocare danni finanziari superiori a 500.000 euro o corrispondenti al 5% del fatturato annuo dell’anno precedente.
2. **Esfiltrazione di dati**: Qualora l’incidente comporti la fuga di segreti commerciali.
3. **Impatto sulla salute**: Situazioni in cui l’incidente può causare danni alla salute o addirittura la morte di individui.
Questi criteri si rivelano decisivi per il monitoraggio e la gestione degli incidenti che potrebbero compromettere la sicurezza degli utenti e delle informazioni.
### Riconoscere gli Incidenti Collettivamente Significativi
Spesso, un singolo incidente potrebbe non apparire rilevante, ma nel Regolamento è previsto che incidenti ricorrenti possano essere considerati significativi a livello collettivo. L’articolo 4 afferma che se due o più eventi accadono con la stessa causa apparente nel giro di sei mesi, essi possono essere valutati nel loro insieme. Questa logica di analisi collettiva fornisce una cornice più ampia per valutare i rischi e pianificare le risposte.
## Misure di Sicurezza e Gestione dei Rischi
Il Regolamento offre anche linee guida sulla gestione dei rischi e sulla policy di sicurezza dei sistemi di rete e delle informazioni. Secondo l’articolo 1 dell’Allegato, ogni entità è obbligata a sviluppare una policy di sicurezza chiara che specifichi ruoli e responsabilità. È fondamentale che questa policy venga comunicata a tutto il personale e alle parti esterne coinvolte, promovendo un’atmosfera di responsabilità condivisa.
### Gestione dei Rischi
La gestione dei rischi rappresenta un elemento chiave nella strategia di sicurezza informatica. L’articolo 2 dell’Allegato richiede alle entità di implementare un quadro di gestione dei rischi che consenta l’identificazione e la mitigazione dei rischi associati ai sistemi di rete. Questo include la revisione annuale (o in caso di cambiamenti significativi) delle valutazioni e dei piani di trattamento dei rischi.
### Sicurezza della Supply Chain
Un altro aspetto cruciale è la sicurezza della catena di fornitura. L’articolo 5 del Regolamento mette in evidenza l’importanza di implementare una politica di sicurezza che riduca i rischi associati alla dipendenza da terzi. È imperativo che i fornitori di servizi rispettino gli standard di sicurezza definiti contrattualmente, per garantire una protezione adeguata lungo tutta la catena.
## Un Pass
