Con la bozza datata 4 novembre 2021, la Commissione per l’industria, la ricerca e l’energia del Parlamento europeo ha adottato una nuova versione della proposta di direttiva relativamente all’introduzione di misure per ottenere un elevato livello di cyber security nell’Unione europea con lo scopo di rafforzare gli obblighi gravanti su imprese e amministrazioni contro le minacce di cyber attacchi.
La precedente Direttiva, in tema cyber security, era entrata in vigore nel 2016 e recepita in Italia nel 2018 mediante Decreto Legislativo 65/2018, ed è stata la prima legislazione a livello europeo atta a stabilire requisiti minimi in materia di sicurezza delle reti e dei sistemi informativi. Nonostante la Direttiva, la Commissione europea ha comunque ravvisato la necessità di un ulteriore intervento legislativo in tale ambito, con il fine ultimo di rafforzare il livello di cyber security e cyber resilienza all’interno dell’Unione per contrastare il crescente numero di cyber attacchi acuito in particolarmente nel periodo pandemico.
Allineamento con le tempistiche previste dal GDPR per il termine di notifica degli incidenti
La Commissione propone di allineare le tempistiche di notifica degli incidenti con il termine di 72 ore previsto dal Regolamento UE 2016/679 (“GDPR”) per la notifica di data breach che quindi si applicherebbe anche nel caso in cui un cyber attacco non impatti dati personali. È ritenuto infatti necessario il prolungamento da 24 a 72 ore in quanto:
· la natura stessa dell’incidente non è chiara nell’arco delle prime 24 ore e ciò potrebbe portare a segnalazioni incorrette e/o non necessarie, creando confusione;
· gli sforzi degli esperti informatici sono dedicati alla mitigazione degli effetti negativi dell’incidente, specialmente nelle prime ore, e la segnalazione risulterebbe, quindi, di interesse secondario.
Il trattamento dei dati relativi al WHOIS a fini di cyber sicurezza
Poiché attraverso il protocollo di rete WHOIS è possibile risalire alle informazioni sulla registrazione di un nome dominio o un indirizzo IP, i dati relativi al WHOIS sono l’unico mezzo valido per raccogliere le informazioni necessarie per identificare gli attori degli attacchi, tracciare i responsabili di eventuali minacce nonché prevenire i danni e proteggere l’ecosistema di rete. Tuttavia, con l’entrata in vigore del GDPR, il trattamento dei dati relativi al WHOIS è venuto meno da parte di alcuni operatori, in quanto visto da questi ultimi come una potenziale fonte di responsabilità. Pertanto, si ribadisce la liceità del trattamento di tali dati per motivi di sicurezza informatica ai sensi del GDPR, nell’esplicito desiderio legislativo che i dati WHOIS siano nuovamente condivisi a beneficio della cyber sicurezza.
La Banca Centrale Europea, inoltre, ha fornito la propria opinione alla Commissione europea nell’ambito della proposta di direttiva in materia di cyber security.
La BCE fa riferimento:
alla promozione del regolare funzionamento dei sistemi di pagamento;
alla stabilità del sistema dei mercati finanziari;
alla vigilanza prudenziale degli enti creditizi.
La BCE sostiene fermamente gli obiettivi della proposta di direttiva di aumentare il livello di resilienza informatica per il settore bancario, ridurre le incoerenze nel mercato e migliorare il livello di cooperazione all’interno dell’Unione. La BCE sottolinea, inoltre, la necessità di mantenere uno stretto collegamento tra la proposta di direttiva e il settore finanziario, che dovrebbe rimanere parte dell’ecosistema delle reti e dei sistemi informativi per promuovere la valutazione coerente dei rischi legati all’IT e alle reti di comunicazione in tutta l’Unione nell’affrontare le minacce informatiche.
Il nostro Staff è aggiornato sugli ultimi interventi normativi e sempre a disposizione per assistenza legale e per una specifica consulenza di settore.
Per maggiori informazioni e per rimanere sempre aggiornati, Vi invitiamo a consultate le nostre news e ad iscriverVi alla newsletter nell’apposita sezione del sito.
Dott.ssa Margherita Susanna
Comments