Normativa sulla sicurezza informatica: il quadro legale 

Indice dei contenuti

• Origini del termine ’’Cyber’’ 
• Il panorama internazionale della cyber security 
• La normativa europea sulla sicurezza informatica 
• Il quadro normativo italiano per la cyber security 

La cyber security è oggi un pilastro fondamentale per la protezione delle informazioni e delle infrastrutture digitali. Tuttavia, per garantire la sicurezza e prevenire i rischi, non bastano tecnologie avanzate: è essenziale un quadro legale chiaro e completo. 

In questo articolo, esploreremo le principali normative a livello internazionale, europeo e italiano, delineando i ruoli di istituzioni come l’Agenzia per la cybersicurezza nazionale (ACN) e analizzando leggi chiave come la Direttiva NIS2. 

Un focus particolare sarà dedicato a concetti cruciali come l’obbligo di segnalazione e la protezione delle infrastrutture critiche. 

Origini del termine ’’Cyber’’ 

Il termine ‘’Cyber’’ deriva dal greco κυβερνήτης (kybernetes) che significa letteralmente “timoniere, pilota di una nave”, e per estensione ‘colui che guida e governa una città o uno Stato’ (fonte: Accademia della Crusca). 

Il termine “cibernetica” fu coniato dal matematico Norbert Wiener (1894-1964), il quale ha posto le basi teoriche di questo campo multidisciplinare, interessandosi allo studiando il controllo e il flusso di informazioni nei sistemi dotati di anelli di retroazione, siano essi biologici, meccanici, cognitivi o sociali. Le sue ricerche culminarono nell’opera “Cybernetics, or control and communication in the animal and the machine”, pubblicata nel 1948 negli Stati Uniti. 

Il panorama internazionale della cyber security 

A livello globale, il quadro normativo sulla cyber security si sviluppa intorno a convenzioni internazionali che mirano a combattere le minacce informatiche e a promuovere la cooperazione tra Stati. 

Esempio
La Convenzione di Budapest sul Cybercrime, adottata da oltre 130 Paesi, che stabilisce una base comune per affrontare crimini informatici come hacking, frodi e uso improprio dei dati personali, promuovendo la collaborazione transfrontaliera nella lotta alle minacce informatiche. 

Parallelamente, istituzioni come le Nazioni Unite e l’International Telecommunication Union (ITU) lavorano per uniformare le politiche di sicurezza informatica e incoraggiare lo sviluppo di reti di comunicazione sicure sebbene le differenze tra priorità nazionali ostacolino un approccio globale univoco. 

La normativa europea sulla sicurezza informatica 

L’Unione Europea ha sviluppato un quadro giuridico articolato per affrontare gli attacchi informatici e proteggere le infrastrutture critiche. Nell’ambito della normativa europea sulla cyber security citiamo: 

GDPR (General Data Protection Regulation – EU 2016/679) 

Il Reg. UE 2016/679, ovvero il Regolamento Generale sulla Protezione dei Dati (“GDPR”), è divenuto pienamente applicabile in tutti gli Stati membri dal 25 maggio 2018. 

Pur essendo principalmente focalizzato sulla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali, ha implicazioni significative per la cyber security. 

Infatti, prevede che le organizzazioni debbano implementare misure tecniche e organizzative per proteggere i dati personali, con il fine di preservarli da accessi non autorizzati, perdite di dati, modifiche o distruzioni accidentali o illecite, adottando un approccio risk-based. 

NIS2 Directive (2022/2555) 

Una pietra miliare è la Direttiva NIS2 (2022/2555) avente ad oggetto le “misure per un livello comune elevato di cyber security nell’Unione”. 

Questa normativa amplia l’ambito rispetto alla precedente Direttiva NIS (2016/1148),  includendo più settori e introducendo obblighi specifici per gli operatori di servizi essenziali e i fornitori di servizi digitali. 

Le organizzazioni interessate sono tenute ad implementare efficaci misure di cyber security relative, in particolare, alla gestione del rischio e della continuità operativa ed alla governance, con l’obbligo di segnalare gli incidenti informatici alle autorità competenti entro tempi determinati. 

Tra i requisiti principali: 

• obbligo di segnalazione degli incidenti informatici alle autorità competenti entro 24 ore;

• adozione di misure di gestione del rischio che coprano anche la supply chain;

• rafforzamento della resilienza operativa e della governance. 

ENISA (European Union Agency for Cyber Security) 

L’UE ha anche istituito l’ Agenzia dell’Unione Europea per la Cyber Security (ENISA), che collabora con le organizzazioni e le imprese per rafforzare la fiducia nell’economia digitale, fornisce orientamenti, promuove la resilienza delle infrastrutture europee, supporta gli Stati membri nel migliorare la loro resilienza cibernetica e la sicurezza digitale.

Il quadro normativo italiano per la cyber security 

Secondo l’ITU, l’International Telecommunication Union (agenzia delle Nazioni Unite specializzata in ICT) l’Italia è un Paese modello in tema di cybersicurezza, con riferimento a 5 parametri: legale, tecnico, organizzativo, sviluppo delle capacità e cooperazione (fonte: Global Cyber Security Index 2024). 

L’Italia si è allineata alla normativa europea sulla sicurezza informatica, sviluppando leggi specifiche per rispondere e alle proprie esigenze nazionali. 

Nell’ambito della normativa italiana sulla cyber security citiamo: 

Legge n. 133/2019 

La Legge n. 133/2019, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica, garantisce la protezione delle infrastrutture essenziali contro le minacce informatiche. 

Questa legge deriva dalla conversione del decreto-legge 105/2019. 

La normativa ha l’obiettivo di garantire un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza finalizzati alla minimizzazione dei rischi. 

National Cyber Security Agency (ACN) 

La Legge n. 109/2021, recante disposizioni urgenti in materia di cybersicurezza e definizione dell’architettura nazionale di cybersicurezza, ha istituito l’Agenzia per la cybersicurezza nazionale (ACN) incaricata di attuare la strategia italiana in materia, con il compito di rafforzare le difese informatiche del Paese e garantire la conformità alla normativa comunitaria. 

D.Lgs. 138/2024 

Recentemente, il recepimento della Direttiva NIS2 tramite il D.Lgs. 138/2024 (entrato in vigore il 16 ottobre 2024, e comportando l’abrogazione del d.lgs. n. 65/2018) ha introdotto nuovi obblighi per le aziende. 

La norma prevede che dal 1° dicembre 2024 al 28 febbraio 2025 i soggetti pubblici e privati a cui si applica la NIS2 devono registrarsi sulla piattaforma digitale che sarà resa disponibile dall’ACN – ferma la possibilità di individuare ulteriori soggetti ritenuti critici. 

Gli elementi fondamentali sono: 

• rafforzamento degli obblighi con l’obbligo di implementare misure di sicurezza in relazione in almeno 10 ambiti, con un approccio multi-rischio e proporzionale; 

• un processo di notifica degli incidenti più articolato; 

• un rafforzamento dei poteri di esecuzione, ispettivi e sanzionatori; 

• l’introduzione di nuovi strumenti, quali: la divulgazione coordinata delle vulnerabilità (CVD); 

• la gestione delle crisi, in particolare quelle transfrontaliere, con l’istituzione del Cyber Crisis Liaison Organisation Network (CyCLONe) e dell’Autorità nazionale competente per la gestione delle crisi informatiche (fonte: sito ufficiale ACN). 

Conclusioni 

Il quadro legale della cyber security si evolve costantemente per rispondere alle sfide poste dai rapidi sviluppi tecnologici e dalle crescenti minacce informatiche. La conformità alle normative sulla sicurezza informatica, sia europee che italiane, non è solo un obbligo legale, ma anche un passo essenziale per rafforzare la fiducia nel mondo digitale e garantire la protezione delle infrastrutture critiche e dei dati personali. 

Adottare un approccio proattivo alla cyber sicurezza significa non solo minimizzare i rischi, ma anche trasformare la conformità normativa in un vantaggio competitivo. 

Domande e risposte 

1. Cosa si intende per quadro legale della cyber security?
   Il quadro legale della cyber security comprende le leggi sulla sicurezza dei dati informatici. 
2. Qual è l’obiettivo della Direttiva NIS2?
   La Direttiva NIS2 mira a garantire un livello elevato di cyber sicurezza per le infrastrutture essenziali in tutta l’UE. 
3. Cosa prevede la normativa italiana sulla cyber security?
   Include leggi come il D.Lgs. 138/2024, che recepisce la NIS2, e misure per il perimetro di sicurezza nazionale cibernetica. 
4. Quali sono gli obblighi per gli operatori di servizi essenziali?
   Devono segnalare gli incidenti informatici entro 24 ore e adottare misure per gestire i rischi. 
5. Cosa fa l’Agenzia per la cybersicurezza nazionale (ACN)?
   L’ACN implementa strategie di cybersicurezza e garantisce l’adesione alle normative europee e italiane. 
6. Cos’è la Convenzione di Budapest sul Cybercrime?
   È un trattato internazionale che stabilisce standard per combattere i reati informatici e promuove la cooperazione tra Stati. 
7. Quali settori sono coperti dalla normativa NIS2?
   Include settori come energia, trasporti, sanità e fornitori di servizi digitali. 
8. Perché è importante l’obbligo di segnalazione degli incidenti?
   Permette una risposta tempestiva e coordinata per mitigare gli impatti degli attacchi. 
9. Quali sono le principali minacce informatiche?
   Hacking, ransomware, phishing e attacchi contro infrastrutture critiche. 
10. Come la cyber security influenza la protezione dei dati personali?
    La cyber security garantisce la protezione dei dati, prevenendo accessi non autorizzati e perdite accidentali.