Normativa

L’UE si sta adoperando su più fronti per promuovere la ciberresilienza, combattere la criminalità informatica e rafforzare la diplomazia informatica e la ciberdifesa. Di seguito alcune delle normative a cui le imprese e le organizzazioni dovranno far riferimento per il trattamento e la sicurezza dei dati.

NIS 2 (Network and Information Security)

La Direttiva NIS 2 (Network and Information Security) è un importante processo verso la piena definizione della strategia per la cyber sicurezza dell’Unione Europea dove i sistemi informatici e di rete usati da operatori pubblici e privati che verranno inclusi nelle due nuove categorie di “soggetti essenziali” e di “soggetti importanti” per fornire servizi essenziali in settori chiave, avranno sempre più un ruolo fondamentale.

La Direttiva NIS2 nella sua applicazione, aumenta il livello di resilienza informatica nel settore pubblico e privato e migliora il livello di consapevolezza delle minacce informatiche al fine di sviluppare una maggiore capacità di prevenzione, gestione e risposta agli incidenti.
Vengono individuate due categorie di soggetti che dovranno rispettare la normativa:

  • Soggetti essenziali: in cui rientrano i soggetti dei settori ad alta criticità quali ad esempio, pubbliche amministrazioni ed imprese che si occupano di energia, trasporti, settore bancario, settore sanitario, infrastrutture digitali, ecc.;
  • Soggetti importanti: in cui rientrano tutti i soggetti degli altri settori critici, dalla dimensione di media impresa in su, quali ad esempio i servizi postali e di corriere, della gestione dei rifiuti, fornitori di servizi digitali, ecc.

Oltre ai soggetti indicati saranno coinvolti anche i fornitori dell’organizzazioni considerate strategiche per l’interesse nazionale

Per maggiori informazioni Approfondisci

GDPR

Il Regolamento generale sulla protezione dei dati (GDPR, dall’inglese General Data Protection Regulation) è un regolamento dell’Unione Europea che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali. Il GDPR ha influenzato significativamente altre normative sulla privacy dei dati in tutto il mondo e richiede la conformità di qualsiasi organizzazione che acceda ai dati personali delle persone nell’UE.

Esistono infatti, due livelli di sanzioni, che raggiungono un massimo di 20 milioni di euro o il 4% delle entrate globali (a seconda di quale sia maggiore). Inoltre, gli interessati hanno il diritto di chiedere il risarcimento dei danni.

Dora (Digital Operational Resilience Act)

La Sicurezza Informatica per il Settore Finanziario e non solo

Entrato in vigore il 16 gennaio 2023, rappresenta un passo avanti significativo per garantire la resilienza operativa delle entità finanziarie nell’Unione Europea. DORA è una risposta alle crescenti minacce informatiche che mettono a rischio la stabilità e la sicurezza delle istituzioni quali banche, compagnie assicurative, società di investimento e altre entità finanziarie. Questo regolamento mira a stabilire un quadro normativo completo che assicuri la capacità delle imprese di resistere, rispondere e riprendersi da qualsiasi tipo di perturbazione o minaccia legata alle tecnologie dell’informazione e della comunicazione (ICT).
Nell’era digitale, il settore finanziario si affida sempre più alle tecnologie avanzate per le operazioni quotidiane, rendendolo vulnerabile a vari rischi cyber e ICT. Incidenti come attacchi informatici, guasti tecnologici e violazioni dei dati possono avere conseguenze devastanti, non solo per le singole imprese ma per l’intero sistema finanziario. DORA nasce dalla necessità di affrontare queste sfide, garantendo che le imprese finanziarie siano adeguatamente attrezzate per gestire e mitigare i rischi digitali.