Nuove Normative UE per la Resilienza Digitale: Cosa c’è da Sapere

Nuove Normative UE per la Resilienza Digitale: Cosa c’è da Sapere

Il 25 giugno 2024, l’Unione Europea ha pubblicato tre nuovi regolamenti di esecuzione che completano il quadro normativo di DORA (Digital Operational Resilience Act). Queste normative sono cruciali per migliorare la resilienza digitale delle imprese e gestire i rischi informatici. Vediamo in dettaglio cosa significano per le aziende.

Regolamento 2024/1772: Criteri di Classificazione degli Incidenti

Il Regolamento 2024/1772 definisce i criteri per classificare gli incidenti informatici, aiutando le imprese a identificare e gestire rapidamente gli incidenti significativi. Questo regolamento è strutturato in quattro capitoli principali:

  • Criteri di Classificazione: Include articoli che riguardano clienti, impatto reputazionale, durata del servizio interrotto, estensione geografica dell’incidente, perdite di dati, criticità dei servizi colpiti e impatto economico.
  • Gravi Incidenti e Soglie di Rilevanza: Definisce cosa costituisce un grave incidente e le soglie di rilevanza.
  • Minacce Informatiche Significative: Stabilisce soglie di rilevanza elevate per identificare minacce informatiche significative.
  • Pertinenza dei Gravi Incidenti: Specifica quando e come informare le autorità competenti di altri Stati membri.

Per le aziende, ciò significa che dovranno adottare un approccio strutturato per classificare e rispondere agli incidenti informatici, garantendo una comunicazione efficace con le autorità competenti.

Regolamento 2024/1773: Politiche degli Accordi con i Fornitori

Il Regolamento 2024/1773 riguarda il contenuto delle politiche degli accordi con i fornitori, particolarmente quelli che supportano funzioni essenziali o importanti per l’azienda. I punti principali includono:

  • Profilo di Rischio e Complessità: Le aziende devono valutare il profilo di rischio complessivo e la complessità degli accordi con i fornitori.
  • Meccanismi di Governance: Devono essere implementati meccanismi di governance chiari.
  • Valutazione dei Rischi e Dovuta Diligenza: Le aziende devono effettuare una valutazione dei rischi ex ante e praticare la dovuta diligenza.
  • Clausole Contrattuali e Risoluzione degli Accordi: Gli accordi devono includere clausole specifiche e prevedere piani di uscita.

Questo regolamento implica che le imprese dovranno essere meticolose nella selezione e gestione dei fornitori, garantendo che i rischi siano valutati e mitigati adeguatamente.

Regolamento 2024/1774: Metodologie per la Gestione dei Rischi e Quadro Semplificato

Il Regolamento 2024/1774 fornisce metodologie dettagliate per la gestione dei rischi informatici e introduce un quadro semplificato per le aziende. Le sezioni principali sono:

  • Principio Generale: Le aziende devono avere un profilo di rischio complessivo ben definito.
  • Strumenti, Metodi e Processi di Gestione del Rischio: Include politiche per la sicurezza ICT, gestione delle risorse ICT, cifratura, sicurezza operativa, sicurezza di rete, gestione dei progetti ICT e sicurezza fisica e ambientale.
  • Politiche delle Risorse Umane e Controllo degli Accessi: Le aziende devono implementare politiche per la gestione delle risorse umane e il controllo degli accessi.
  • Gestione degli Incidenti ICT e Continuità Operativa: Le aziende devono essere in grado di identificare e rispondere agli incidenti ICT e garantire la continuità operativa.
  • Quadro Semplificato per la Gestione dei Rischi: Per le piccole e medie imprese, è previsto un quadro semplificato per la gestione dei rischi informatici.

Questo regolamento richiede alle aziende di adottare una gestione dei rischi strutturata e proattiva, con politiche e procedure ben definite per garantire la sicurezza delle operazioni ICT.

Conclusione

L’introduzione di questi regolamenti di esecuzione rappresenta un passo significativo verso il rafforzamento della resilienza operativa digitale in Europa. Le aziende devono prepararsi per attuare queste normative, che richiedono una gestione rigorosa dei rischi informatici, politiche di sicurezza ICT solide e accordi contrattuali ben strutturati con i fornitori. La chiave del successo risiede nella proattività e nella capacità di adattarsi rapidamente alle nuove sfide della sicurezza informatica.