Normativa
Numerose sono i riferimenti nazionali, europei e gli standard di riferimento per promuovere la resilienza, la protezione delle informazioni e per combattere la criminalità informatica. Di seguito alcune delle normative a cui le imprese e le organizzazioni debbono far riferimento per il trattamento e la sicurezza dei dati.
GDPR - Regolamento Generale sulla protezione dei dati
Garante per la protezione dei dati personali – REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE
NIS 2 (Network and Information Security)
DIRETTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2)
La Direttiva NIS 2 (Network and Information Security) è un importante processo verso la piena definizione della strategia per la cyber sicurezza dell’Unione Europea dove i sistemi informatici e di rete usati da operatori pubblici e privati che verranno inclusi nelle due nuove categorie di “soggetti essenziali” e di “soggetti importanti” per fornire servizi essenziali in settori chiave, avranno sempre più un ruolo fondamentale.
La Direttiva NIS2 nella sua applicazione, aumenta il livello di resilienza informatica nel settore pubblico e privato e migliora il livello di consapevolezza delle minacce informatiche al fine di sviluppare una maggiore capacità di prevenzione, gestione e risposta agli incidenti.
Vengono individuate due categorie di soggetti che dovranno rispettare la normativa:
- Soggetti essenziali: in cui rientrano i soggetti dei settori ad alta criticità quali ad esempio, pubbliche amministrazioni ed imprese che si occupano di energia, trasporti, settore bancario, settore sanitario, infrastrutture digitali, ecc.;
- Soggetti importanti: in cui rientrano tutti i soggetti degli altri settori critici, dalla dimensione di media impresa in su, quali ad esempio i servizi postali e di corriere, della gestione dei rifiuti, fornitori di servizi digitali, ecc.
Oltre ai soggetti indicati saranno coinvolti anche i fornitori dell’organizzazioni considerate strategiche per l’interesse nazionale
DORA (Digital Operational Resilience Act)
La Sicurezza Informatica per il Settore Finanziario e non solo
REGOLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011
Entrato in vigore il 16 gennaio 2023, rappresenta un passo avanti significativo per garantire la resilienza operativa delle entità finanziarie nell’Unione Europea. DORA è una risposta alle crescenti minacce informatiche che mettono a rischio la stabilità e la sicurezza delle istituzioni quali banche, compagnie assicurative, società di investimento e altre entità finanziarie. Questo regolamento mira a stabilire un quadro normativo completo che assicuri la capacità delle imprese di resistere, rispondere e riprendersi da qualsiasi tipo di perturbazione o minaccia legata alle tecnologie dell’informazione e della comunicazione (ICT).
Nell’era digitale, il settore finanziario si affida sempre più alle tecnologie avanzate per le operazioni quotidiane, rendendolo vulnerabile a vari rischi cyber e ICT. Incidenti come attacchi informatici, guasti tecnologici e violazioni dei dati possono avere conseguenze devastanti, non solo per le singole imprese ma per l’intero sistema finanziario. DORA nasce dalla necessità di affrontare queste sfide, garantendo che le imprese finanziarie siano adeguatamente attrezzate per gestire e mitigare i rischi digitali.