La Direttiva NIS 2, entrata in vigore nel gennaio 2023, rappresenta un significativo passo avanti nella regolazione della sicurezza informatica nell’Unione Europea, ampliando l’ambito di applicazione rispetto alla sua predecessora, la Direttiva NIS. Questa normativa estende i requisiti di sicurezza a una più ampia gamma di settori e attori considerati essenziali per il funzionamento della società e dell’economia.
Con il recepimento della Direttiva NIS 2 previsto entro ottobre 2024, gli Stati membri si preparano a integrare questa normativa nei rispettivi ordinamenti giuridici e ad affrontare l’interazione con il prossimo Regolamento UE sull’Intelligenza Artificiale (AI Act). Il presente saggio esplora le implicazioni e le sfide legate alla sinergia tra queste due normative nel contesto della sicurezza informatica europea.
Stato di Avanzamento del Recepimento
Il processo di recepimento della Direttiva NIS 2 mostra significative discrepanze tra gli Stati membri. Paesi come Belgio, Croazia, Ungheria e Lettonia hanno già completato l’adozione della direttiva, stabilendo un quadro normativo operativo. Altri Stati membri, tra cui Austria, Cipro, Repubblica Ceca, Finlandia, Germania, Grecia, Italia, Lituania, Lussemburgo, Paesi Bassi, Polonia, Slovacchia, Slovenia e Svezia, sono in fase avanzata, con bozze legislative già presentate o in fase di approvazione. Tuttavia, alcuni Stati come Danimarca, Francia, Irlanda e Romania stanno ancora affrontando fasi preliminari o ritardi significativi. Per Bulgaria, Estonia, Malta, Portogallo e Spagna, le informazioni disponibili pubblicamente rimangono limitate.
Aspetti Chiave dell’Implementazione
L’implementazione della Direttiva NIS 2 solleva questioni tecniche e normative complesse, particolarmente nella designazione delle entità “essenziali” e “importanti”. Questo processo varia tra gli Stati membri e potrebbe richiedere una revisione in vista dell’entrata in vigore dell’AI Act. Quest’ultimo, infatti, potrebbe ampliare ulteriormente la categoria dei soggetti tenuti a rispettare requisiti di sicurezza informatica.
Le organizzazioni stanno facendo progressi nel migliorare la loro postura di sicurezza, ma rimangono sfide, soprattutto per le entità di dimensioni minori. Con l’introduzione dell’AI Act, si prevede l’implementazione di requisiti aggiuntivi per la gestione del rischio, incentrati sui pericoli specifici dell’IA, come bias algoritmici e impatti indesiderati.
Un altro aspetto cruciale riguarda la segnalazione degli incidenti. La Direttiva NIS 2 stabilisce obblighi di reporting più severi per gli incidenti informatici significativi. L’AI Act potrebbe introdurre ulteriori requisiti di segnalazione per incidenti legati a sistemi di IA, esigendo un aggiornamento dei processi di reporting delle organizzazioni, nel contempo le autorità di regolamentazione stanno rafforzando le loro capacità di enforcement e controllo.
D’altra parte, le sanzioni previste dall’AI Act accentuano l’importanza della conformità e la necessità di strategie di gestione del rischio solide e ben definite.
Relazione tra NIS 2 e AI Act
L’interazione tra la Direttiva NIS 2 e l’AI Act rappresenta una questione rilevante per la sicurezza informatica. Entrambe le normative enfatizzano la gestione del rischio, sebbene l’AI Act si concentri specificamente sui sistemi di IA ad alto rischio, imponendo alle organizzazioni di integrare i rischi dell’IA nel loro framework di sicurezza informatica ed entrambe le norme richiedono la segnalazione di incidenti significativi, il che implica che le organizzazioni dovranno armonizzare i loro meccanismi di reporting per coprire sia incidenti di sicurezza informatica che relativi all’IA.
Inoltre, entrambe le normative pongono un forte accento sulla governance e sulla responsabilità: la Direttiva NIS 2 affida la responsabilità agli organi di gestione per la supervisione della sicurezza informatica, mentre l’AI Act richiede una governance robusta per i fornitori di sistemi di IA ad alto rischio.
Sfide e Prospettive Future
L’attuazione simultanea della Direttiva NIS 2 e dell’AI Act presenta diverse sfide, tra queste, l’armonizzazione e l’allineamento delle normative tra gli Stati membri dell’UE sono fondamentali per evitare frammentazioni e interpretazioni divergenti. I requisiti combinati potrebbero anche mettere a dura prova le risorse delle organizzazioni, specialmente quelle più piccole, e aggravare la carenza di competenze in cybersecurity e IA.
Inoltre, l’evoluzione rapida delle tecnologie di IA richiede un continuo aggiornamento delle misure di protezione per affrontare i nuovi rischi emergenti. In particolare, l’adozione di tecnologie avanzate come l’automazione della cybersecurity e l’analisi predittiva potrebbe migliorare la capacità di rilevamento e risposta agli incidenti, contribuendo a una gestione del rischio più efficace.
Dal canto loro, le organizzazioni dovrebbero adottare un approccio proattivo, integrando fin da subito i requisiti dell’AI Act nei loro sforzi di compliance con la Direttiva NIS 2.
È cruciale, da questo punto di vista, sviluppare un framework di gestione del rischio che contempli sia i rischi di sicurezza informatica sia quelli specifici dell’IA, tenendo conto delle loro interdipendenze.
Inoltre, investire nella formazione e nell’aggiornamento del personale è essenziale per costruire competenze interne capaci di affrontare le sfide normative. Promuovere la collaborazione tra Stati membri, autorità di regolamentazione e organizzazioni è fondamentale per la condivisione di best practice e soluzioni innovative.
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli
Conclusioni
La Direttiva NIS 2 rappresenta un avanzamento significativo nella sicurezza informatica nell’UE. L’imminente AI Act contribuirà ulteriormente alla regolamentazione delle tecnologie emergenti, richiedendo un impegno sostanziale da parte delle organizzazioni per garantire conformità e gestione efficace dei rischi. Adottando un approccio proattivo e collaborativo, le organizzazioni possono sfruttare le opportunità offerte dall’IA, mitigare i rischi associati e contribuire a un ecosistema digitale più sicuro e resiliente.