Il panorama della sicurezza informatica sta attraversando una trasformazione significativa con l’introduzione di nuove normative da parte del governo italiano. Queste leggi mirano a garantire che le aziende operanti nel settore IT, inclusi i datacenter, dispongano di piani di sicurezza adeguati per proteggere i servizi essenziali offerti alla popolazione.
Il Cyber Security and Resilience Bill (CSRB) rappresenta un’importante iniziativa legislativa che affronta le crescenti minacce informatiche nel paese. La legge si propone di tutelare settori critici come la sanità, l’energia, il trasporto e l’acqua, particolarmente vulnerabili a cyber attacchi che costano all’economia italiana miliardi ogni anno.
Obiettivi della nuova legislazione
La legge stabilisce che le aziende di medie e grandi dimensioni nel settore IT, che offrono servizi di gestione IT, supporto helpdesk e sicurezza informatica, siano soggette per la prima volta a regolamentazioni specifiche.
Queste aziende dovranno comunicare eventuali violazioni significative della sicurezza informatica ai regolatori e al Centro Nazionale per la Sicurezza Informatica entro 24 ore dall’incidente, fornendo un rapporto dettagliato entro 72 ore.
Responsabilità e obblighi delle aziende
Inoltre, sarà necessario informare sia le aziende clienti che i singoli utenti coinvolti riguardo all’incidente. Il governo avrà il potere di ordinare ai regolatori e alle organizzazioni supervisionate di attuare misure specifiche per prevenire attacchi informatici, specialmente in caso di rischi per la sicurezza nazionale. Ciò potrà includere l’implementazione di misure di sicurezza più rigorose o l’isolamento di sistemi ad alto rischio.
Implicazioni economiche e sociali
Queste nuove normative si applicano a fornitori di servizi pubblici e privati, la cui incapacità di resistere a un attacco informatico potrebbe avere conseguenze economiche devastanti.
Gli enti regolatori riceveranno poteri aggiuntivi per designare le organizzazioni che forniscono servizi essenziali e per richiedere loro di rispettare requisiti minimi di sicurezza.
Prevenire i pagamenti ai gruppi di ransomware
La legislazione prevede anche un divieto per le organizzazioni pubbliche, come comuni e ospedali, di effettuare pagamenti a bande di ransomware. Il governo giustifica questa necessità facendo riferimento a recenti attacchi informatici contro fornitori di servizi gestiti, evidenziando l’urgenza di una risposta legislativa.
Risultati attesi dalla nuova legge
Secondo stime ufficiali, un attacco informatico a infrastrutture nazionali critiche potrebbe aumentare temporaneamente il debito pubblico di oltre 30 miliardi di euro, un valore che rappresenta circa l’1,1% del PIL. I costi medi di un attacco significativo nel Regno Unito superano i 190.000 euro, contribuendo a un peso totale di circa 15 miliardi di euro all’economia.
Eventi recenti, come l’attacco al sistema di buste paga del Ministero della Difesa attraverso un fornitore di servizi gestiti, hanno causato disagi significativi, con oltre 11.000 appuntamenti medici interrotti e costi stimati di 30 milioni di euro. La legge mira a rappresentare un cambiamento significativo per migliorare la stabilità economica e supportare l’investimento nel settore della sicurezza informatica, il quale ha contribuito per 13,2 miliardi di euro all’economia nell’ultimo anno finanziario.
Il Cyber Security and Resilience Bill si configura come un fondamentale strumento di protezione per la sicurezza nazionale e la tutela dei dati dei cittadini, promuovendo un ambiente digitale più sicuro e resiliente per tutti.
