Alcune delle novità introdotte dai legislatori con NIS2 e DORA costituscono una prima volta assoluta nell’ambito della normativa associata alla cyber security e potrebbero essere definte rivoluzinoarie. Vediamo di cosa si tratta.
Responsabilità diretta dei dirigenti in NIS2
Prima di NIS2, la responsabilità legale per la sicurezza informatica ricadeva principalmente sull’organizzazione nel suo complesso, lasciando il top management sostanzialmente immune da conseguenze dirette in caso di non conformità. NIS2 segna un punto di svolta senza precedenti introducendo la responsabilità personale dei dirigenti. Questo significa che i membri del consiglio di amministrazione sono direttamente responsabili per il mancato adeguamento alle misure di sicurezza richieste. Una responsabilità individuale di questo tipo non era mai stata prevista dalle normative precedenti ed è pensata per garantire che la cybersecurity venga finalmente trattata come una priorità strategica a livello dirigenziale. Questo è un cambiamento sostanziale che mira a far sì che la sicurezza informatica sia presa sul serio ai massimi livelli decisionali e non relegata a una questione puramente tecnica.
Ampliamento sistematico del perimetro dei settori coinvolti
Il perimetro delle organizzazioni soggette alla direttiva è stato significativamente ampliato in NIS2, includendo settori che non erano mai stati oggetto di regolamentazione specifica per la sicurezza delle reti e dei sistemi informativi, come la gestione dei rifiuti, il settore dei prodotti alimentari e i servizi postali. Questi settori, precedentemente esclusi, sono ora riconosciuti come essenziali per il corretto funzionamento della società, sottolineando per la prima volta l’importanza di una protezione omogenea per un’ampia gamma di infrastrutture critiche che va oltre i soli settori ICT o energetico. Questo ampliamento è una novità di grande portata perché riconosce che le infrastrutture critiche non si limitano alle sole utility tradizionali, ma comprendono anche tutti quei servizi che possono avere un impatto significativo sulla vita quotidiana e sull’economia.
Supervisione diretta sui fornitori in DORA
Una delle innovazioni più “disruptive” introdotte da DORA è la supervisione diretta sui fornitori di servizi tecnologici critici per il settore finanziario, come cloud provider, managed service provider e altre terze parti. Mai prima d’ora i fornitori esterni erano stati direttamente soggetti alla supervisione delle autorità regolamentari del settore finanziario. Con DORA, questi fornitori critici diventano essi stessi oggetto di audit e verifiche da parte delle autorità competenti. Questo rappresenta una svolta significativa rispetto alle normative precedenti, che lasciavano agli istituti finanziari l’onere della gestione del rischio dei propri fornitori senza una reale possibilità di controllo diretto delle autorità su tali attori esterni. Questa novità mira a ridurre significativamente i rischi lungo tutta la supply chain e a garantire che la sicurezza dei servizi essenziali non venga compromessa da falle o vulnerabilità introdotte dai fornitori di terze parti.
Stress test obbligatori per la resilienza digitale
DORA introduce per la prima volta l’obbligo di stress test regolari per la resilienza operativa digitale. Mentre i test di resilienza finanziaria sono ormai prassi comune per le istituzioni bancarie, l’obbligo di simulare attacchi informatici per valutare la resilienza dei sistemi ICT era completamente assente fino a ora. Questo requisito segna un cambiamento fondamentale in termini di prevenzione, in quanto spinge le istituzioni finanziarie a essere proattive e a verificare costantemente la solidità delle loro difese contro minacce che evolvono in modo rapido e continuo. Si tratta di un approccio che va oltre il semplice monitoraggio, richiedendo un’attenta pianificazione e una verifica continua della propria capacità di resistere e rispondere ad attacchi sofisticati, ponendo la prevenzione come elemento cardine della resilienza operativa.
Formalizzazione della notifica di incidenti in tempi record
NIS2 impone delle tempistiche senza precedenti per la notifica degli incidenti. Se prima le normative erano più vaghe sulle scadenze per notificare un attacco, NIS2 stabilisce con chiarezza la necessità di una segnalazione entro 24 ore dall’identificazione dell’incidente. Questa rapidità non era mai stata formalizzata in maniera così rigorosa e ha lo scopo di garantire che le informazioni sugli attacchi possano essere rapidamente condivise per mitigare il rischio di propagazione e di effetti a catena. Questa misura rappresenta un cambio radicale per migliorare la reattività dell’intero ecosistema di sicurezza europeo, assicurando che tutte le parti coinvolte possano agire tempestivamente per prevenire ulteriori danni.
Centralizzazione e armonizzazione della cyber security a livello europeo
Entrambe le direttive introducono per la prima volta un coordinamento molto più stretto tra gli stati membri e le autorità centrali dell’Unione europea. La volontà di creare una rete europea per la cybersecurity, in cui la collaborazione e lo scambio di informazioni avvengano in maniera strutturata e frequente, segna un significativo cambio di passo rispetto al passato, in cui le misure di sicurezza e le normative erano spesso lasciate all’iniziativa dei singoli stati membri, portando a disparità sostanziali nella resilienza dei sistemi tra diversi paesi dell’Unione europea.
Questa centralizzazione non solo migliora la risposta agli attacchi, ma favorisce anche la condivisione di best practice, conoscenze e risorse tra gli stati membri, creando un fronte più unito e coordinato contro le minacce informatiche.