A cura di Alessio Fasano
L'avvento delle telecomunicazioni ha rivoluzionato il nostro modo di comunicare e di interagire con il mondo. Viviamo ormai in un mondo in cui oggetti e persone sono costantemente connessi, tuttavia, questa crescente dipendenza dalla connettività digitale ha portato con sé una serie di nuove sfide, tra cui la minaccia costante di attacchi informatici. Per affrontare questa crescente minaccia, l'Unione europea ha introdotto la direttiva NIS (Network and Information Systems Directive) nel 2016. Tuttavia, con il rapido sviluppo delle tecnologie e delle minacce cibernetiche, è diventato necessario un aggiornamento sostanziale, che ha portato alla creazione della versione aggiornata della direttiva, la NIS2. Il tema è articolato e sicuramente presenta delle complessità ed in questo breve articolo esamineremo la direttiva senza alcuna velleità di completezza ed esaustività, volendo però soffermarci sull’impatto che la direttiva avrà in particolare sugli operatori di telecomunicazioni.
La NIS2, ufficialmente nota come il Regolamento sulla Resilienza Digitale e di Mercato (DMRR), è la versione aggiornata e migliorata della direttiva NIS. Questa nuova normativa è stata proposta dalla Commissione Europea nel dicembre 2020 come parte della Strategia Digitale Europea. Uno degli obiettivi principali di NIS2 è rafforzare la resilienza delle infrastrutture digitali dell'Unione europea e migliorare la sua capacità di far fronte alle minacce informatiche. Vediamo nello specifico come ciò influenzerà gli operatori di telecomunicazioni.
L'Impatto di NIS2 sugli Operatori di Telecomunicazioni
- Allargamento del Campo di Applicazione: la NIS2 amplia il campo di applicazione rispetto alla direttiva NIS. Oltre agli operatori di servizi essenziali (OSE), includerà anche i fornitori di servizi digitali (DSP), il che significa che molti altri operatori di telecomunicazioni rientreranno in questa categoria. Questo allargamento comporta nuove responsabilità e obblighi.
- Gestione del Rischio: la NIS2 pone una maggiore enfasi sulla gestione del rischio. Gli operatori di telecomunicazioni dovranno valutare e gestire i rischi per i propri sistemi informativi e di rete in modo più efficace. Questo richiederà una valutazione continua delle minacce e una risposta rapida a potenziali violazioni.
- Requisiti di Notifica degli Incidenti: la direttiva NIS2 mantiene i requisiti di notifica degli incidenti, introducendo alcune modifiche significative. Gli operatori di telecomunicazioni dovranno notificare gli incidenti entro un breve lasso di tempo e con criteri di notifica più rigorosi. Ciò pone una pressione maggiore sulla capacità di rilevare e rispondere alle violazioni in modo tempestivo.
- Collaborazione tra Stati Membri: la NIS2 promuove la collaborazione tra gli Stati membri dell'UE nella gestione delle minacce informatiche. Si prevede la creazione di un Centro Europeo per la Competenza in Sicurezza Informatica (ECCC) e una Rete di Centri Nazionali di Coordinamento (CNC) per facilitare la cooperazione nell'affrontare le minacce cibernetiche transnazionali.
- Valutazione della Catena di Fornitura: con l'aumento delle minacce alla catena di approvvigionamento, la direttiva NIS2 richiede agli operatori di telecomunicazioni di valutare e mitigare i rischi cibernetici nella loro catena di fornitura. Questo è fondamentale per prevenire attacchi alla catena di approvvigionamento che potrebbero comprometterne la sicurezza.
Affrontare le Sfide e Sfruttare le Opportunità
Sebbene la NIS2 rappresenti una sfida per gli operatori di telecomunicazioni, richiedendo ulteriori importanti investimenti per la sua attuazione, offre anche significative opportunità:
- Miglioramento della Sicurezza: l'adozione delle pratiche di gestione del rischio e delle misure di sicurezza richieste dalla NIS2 migliorerà la sicurezza delle reti e dei dati dei clienti, aumentando la fiducia nei servizi offerti e consolidando le relazioni commerciali
- Conformità Normativa: gli operatori di telecomunicazioni che si conformeranno alla NIS2 dimostreranno il loro impegno verso la sicurezza cibernetica, il che risulterà un vantaggio competitivo ed un fattore abilitante per vincere le grandi sfide di mercato ed offrire servizi alla Pubblica Amministrazione.
- Collaborazione: la cooperazione tra operatori di telecomunicazioni, autorità di regolamentazione e altri attori del settore può porterà ad una migliore condivisione delle informazioni e delle best practice da utilizzare nelle politiche di difesa cibernetica.
Se già per le grandi imprese, gli investimenti per l’Information Security, sono ormai ai primi posti di spesa, l’allargamento della NIS2 consoliderà questa tendenza anche nelle PMI, che rientreranno nella catena di approvvigionamento delle big company.
È evidente che la NIS2 rappresenterà una tappa importante nell'evoluzione della normativa sulla sicurezza informatica in Europa e gli operatori di telecomunicazioni dovranno adeguarsi ai nuovi obblighi e alle nuove sfide, cogliendo l'opportunità di migliorare la sicurezza delle loro infrastrutture e dei dati dei clienti. La cooperazione tra operatori, autorità di regolamentazione e altri soggetti sarà essenziale per affrontare le minacce informatiche in modo sempre più efficace.
In questo mondo sempre più connesso, la sicurezza delle telecomunicazioni è fondamentale per proteggere l'infrastruttura digitale e la privacy dei cittadini europei. Le nostre aziende, in particolare gli operatori di telecomunicazioni, sono quotidianamente in prima linea per vincere questa che ormai è chiaro a tutti essere una battaglia cibernetica.