Il tema della Sicurezza informatica (Cybersecurity) diventa sempre più attuale con l’aumento dei prodotti e delle soluzioni digitali. Questa evoluzione ha portato ad un aumento degli attacchi informatici, proporzionati alla permeazione delle tecnologie informatiche in ogni processo aziendale. Lo sviluppo dell’IOT e macchine controllate da sistemi informatici rendono sempre più vulnerabili le aziende alle minacce cyber.

L’Unione Europea non si vuol far trovare impreparata a questa evoluzione tecnologica impossibile da arrestare. Per fronteggiare la cybersecurity e difendere il proprio capitale digitale, l’Unione Europea ha emanato una serie di Regolamenti e Direttive che vogliamo riepilogare in queste pagine.

Prima di andare avanti ricordiamo brevemente quali sono gli atti che le istituzioni dell’UE possono adottare per l’esercizio delle loro competenze: Regolamento; Direttiva; Decisione; Raccomandazione; Parere.

– Un Regolamento è un atto giuridico “automaticamente” vincolante in tutti gli stati dell’UE. Non è necessario il recepimento da parte degli Stati Membri e deve essere applicato in tutti i suoi elementi. Un esempio di Regolamento è il GDPR.

– Una Direttiva è un atto giuridico che definisce un obiettivo, vincolante per gli Stati Membri, che l’Unione deve raggiungere. Ogni Stato Membro dovrà recepire la Direttiva nel proprio diritto nazionale, definendo i metodi e la forma da utilizzare al fine di raggiungere l’obiettivo che la Direttiva ha definto. Un esempio di Direttiva è la NIS 2.

– Una Decisione è un atto vincolante ed obbligatoio in tutti i suoi elementi, per il destinatario, che può essere uno stato dell’UE o anche una singola impresa. Gli stati membri, dunque, sono obbligati ad adeguarsi senza possibilità di “personalizzare” (come nel caso delle direttive). Ad esempioil 1° gennaio 2023 il Consiglio ha adottato una decisioneche autorizza la Croazia ad utilizzare l’Euro.

– Una Raccomandazione non è vincolante, ha lo scopo di invitare il destinatario a tenere un certo comportamento ritenuto idoneo per gli interessi comuni, senza imporre obblighi giuridici.

– Un Parere, infine, anche questo non vincolante, permette alle istituzioni europee di far conoscerela loro posizione su una specifica questione, senza imporre obblighi giuridici.

Dopo questo brevissimo riepilogo vediamo, ora, come anticipato sopra, quali sono i principali atti emanati sulla sicurezza delle informazioni.

  • The European Cyber Resilience Act. Ha lo scopo di stabilire gli standard di sicurezza comuni nei prodotti.
  • The Digital Operational Resilience Act (DORA). Definisce gli standard di sicurezza per gli enti finanziari (banche, compagnie di assicurazione e finanziarie).
  • The Critical Entities Resilience Directive (CER). Si occupa della resilienza di infrastrutture critiche (in questo senso possiamo dire che va di pari passo con la NIS 2) rispetto a minacce ibride, catastrofi naturali, attacchi terroristici ed emergenze.