La proposta segna un allontanamento dai vecchi modelli normativi, adottando un approccio più ampio e flessibile al rischio informatico. Viene ampliata la supervisione regolatoria per includere i Managed Service Provider (MSP) e viene introdotta una nuova categoria di “Fornitori Critici”, permettendo alle autorità di monitorare più da vicino soggetti la cui compromissione potrebbe avere un impatto su interi settori. Si prevede che quasi 1.100 aziende aggiuntive rientreranno così nel perimetro della regolamentazione.
Il disegno di legge rafforza gli obblighi di segnalazione dei data breach, imponendo la notifica degli incidenti entro 24 ore e ampliando la definizione di incidente segnalabile per includere compromissioni della riservatezza e dell’integrità dei sistemi. Inoltre, conferisce all’Information Commissioner’s Office poteri investigativi proattivi e introduce meccanismi di finanziamento sostenibili per garantire l’efficacia degli organismi di controllo.
Riconoscendo l’evoluzione rapida del panorama delle minacce, la legge prevede anche strumenti per una futura adattabilità. Il Segretario di Stato avrà l’autorità di estendere i confini regolatori senza necessità di nuova legislazione, consentendo risposte più rapide alle minacce emergenti. Tra le misure aggiuntive in valutazione figurano la regolamentazione dei data center commerciali e la possibilità di intervento diretto da parte dei ministri in situazioni di emergenza nazionale.
La stabilità economica è presentata come obiettivo centrale. Il governo sottolinea che un’infrastruttura digitale sicura è fondamentale per stimolare l’innovazione e la crescita, rispondendo alla richiesta del mondo imprenditoriale per una regolamentazione “agile e favorevole all’innovazione”. L’approccio richiama elementi del framework NIS2 dell’UE, pur mantenendo una forte impronta nazionale.
Nonostante l’ampiezza della riforma, alcuni esperti di sicurezza informatica avvertono che il campo d’applicazione della legge resta limitato. Essa si applica principalmente a un sottoinsieme di organizzazioni, lasciando molte imprese private — anch’esse vulnerabili — al di fuori delle tutele. Gli esperti sottolineano l’urgenza di una maggiore consapevolezza pubblica e di una più ampia adozione di buone pratiche di cibersicurezza a livello industriale, ricordando che l’interdipendenza nelle catene di fornitura rende la sicurezza di una singola entità cruciale per molte altre.
Pur rappresentando un passo fondamentale verso una maggiore resilienza informatica nazionale, la legge è solo l’inizio di una strategia a lungo termine. Il governo stesso riconosce che non si tratta di una soluzione definitiva, ma della base per un’evoluzione continua nella lotta contro minacce digitali sempre più gravi.
Source: DIGIT
L’European Cyber Intelligence Forum è un think tank no-profit specializzato in intelligence e sicurezza informatica, che offre servizi di consulenza agli enti governativi. Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net, oppure puoi provare tu stesso utilizzando check.website.