Sovrapposizione di norme e poca chiarezza in materia di cybersecurity

Negli ultimi anni, dopo l'entrata in vigore del GDPR nel 2016, il legislatore ha posto particolare attenzione ai casi di databreach che si verificano nel web per risolvere i problemi connessi agli innumerevoli attacchi di haker ai software di banche ed istituti di credito o pubbliche amministrazioni, che si sono verificati negli ultimi anni.

Per questo motivo dal 2016 ad oggi il Legislatore ha concentrato la sua attività nell'individuazione di oblighi di segnalazione strigenti per tali istituti così da arginare il più possibile la perdita dei dati in caso di tali attacchi.

Il quadro normativo europeo, dopo l'entrata in vigore del GDPR dove l'articolo 33 disciplina l'obbligo di segnalazione di data breach entro 72 ore dalla scoperta dell'incidente che ha causato la perdita di dati, vede l'introduzione nel 2022 della c.d. Direttiva UE NIS2 sulla sicurezza delle reti e dei sistemi informaviti, in cui all'art. 23 viene precisato che qualsiasi incidente di impatto significativo sulla fornitura di tale servizi informativi deve essere segnalato preliminarmente entro 24 ore, successivamente con una notifica completa entro 72 ore e lasciando circa 1 mese per l'invio di una relazione finale all'autorità competente. E da ultimo ha sancito l'applicazione della normativa DORA, che si rivolge specificatamente al settore finanziario e che prevede l'obbligo di notifica di incidenti all'autorità di vigilanza entro 24 ore dal momento in cui l'istituto finanziario è venuto a conoscenza dell'incidente connesso alle TIC, oltre a successivi obblighi di segnalazione e relazione intermedi.

Si può ben capire che queste norme, tutte applicabili ed in vigore, causano una sovrapposizione di processi di segnalazione portando alla luce possibili problematiche di gestione ed una moltiplicazione di implicazioni organizzative per tali istituti.