Orientarsi tra le normative sulla cybersecurity in Francia e in Europa / edizione 2025

L’implementazione del quadro europeo della cybersecurity sta prendendo slancio in Francia.

Dopo l’adozione dell’AI Act nel 2024, la sua fase applicativa è iniziata nel 2025, introducendo le prime obbligazioni per i grandi modelli di intelligenza artificiale. Parallelamente, il regolamento DORA, entrato in vigore all’inizio del 2025, viene progressivamente attuato dalle entità finanziarie. Nel frattempo, da marzo 2025 è in esame un disegno di legge per recepire tre direttive chiave: NIS 2, REC e la direttiva associata a DORA.

Resilienza operativa e intelligenza artificiale: il duplice bivio normativo europeo

DORA

DORA, il regolamento europeo adottato il 10 novembre 2022, mira a rafforzare la resilienza operativa digitale delle entità finanziarie imponendo rigorosi requisiti di gestione del rischio ICT.

Benché DORA sia entrato ufficialmente in vigore il 17 gennaio 2025, il quadro normativo continua a evolversi:

1. Nel corso del 2024 sono stati sviluppati vari progetti di standard tecnici (RTS/ITS) per chiarire il regolamento.
2. L’ACPR offre supporto attraverso comunicazioni esplicative, strumenti di reporting e FAQ aggiornate regolarmente al progredire del quadro normativo.

La data chiave per il 2025 è stata il 15 aprile, che ha segnato la scadenza per la prima presentazione del Registro delle Informazioni (RoI).

L’approfondimento di Neverhack

I nostri clienti, dopo una fase di analisi delle lacune e lo sviluppo di roadmap personalizzate, sono ora fortemente impegnati nel dispiegamento delle misure di conformità a DORA.

Le sfide critiche identificate da NeverHack

Un’analisi approfondita dei nostri clienti evidenzia diverse sfide critiche:

Sfida 1: gestione dei contratti con i fornitori di servizi ICT

1. Non tutti i fornitori si sentono direttamente interessati dai requisiti di DORA.
2. Le clausole contrattuali, soprattutto quelle relative alle strategie di uscita, richiedono spesso una riscrittura, attività dispendiosa in termini di tempo.
3. I team operativi necessitano di un supporto costante e di una maggiore consapevolezza per garantire la conformità.
4. Mantenere il registro richiesto è un’operazione che richiede molte risorse.

Sfida 2: ristrutturazione dei processi di outsourcing

1. I quadri di outsourcing devono essere completamente rivisti per allinearsi a DORA.
2. Ogni servizio esternalizzato deve essere supportato da un’analisi del rischio, spesso gestita dal team del CISO.
3. Ciò evidenzia la necessità di un processo robusto di Third-Party Risk Management (TPRM) per garantire una valutazione, un monitoraggio e una governance costanti dei fornitori esterni in tutta l’organizzazione.

Sfida 3: disparità di risorse all’interno dei gruppi finanziari

1. L’implementazione di DORA richiede risorse significative, in particolare per i servizi critici che necessitano di test e aggiornamenti più frequenti.
2. Le entità più piccole all’interno di un gruppo sono colpite in maniera sproporzionata e dipendono da una coordinazione centralizzata per adempiere agli obblighi.
3. Le piccole entità che operano in maniera autonoma affrontano sfide ancora maggiori, poiché spesso mancano delle risorse umane necessarie per implementare DORA mantenendo al contempo le operazioni quotidiane. In alcuni casi, una singola persona (ad es. il CISO) è responsabile sia della conformità normativa che della sicurezza operativa, con un notevole aumento del carico di lavoro.

Sfida 4: governance e coordinamento interno

1. Le organizzazioni devono scegliere se sviluppare internamente competenze in materia di sicurezza delle informazioni o assumere professionisti esterni, a volte in contrasto con le loro politiche HR.
2. La collaborazione tra diversi reparti interni risulta difficile da gestire e coordinare efficacemente, evidenziando la necessità di ottenere la convalida del top management per legittimare e facilitare questa collaborazione interdipartimentale.

AI ACT

L’AI Act, adottato il 1° agosto 2024, bilancia sicurezza, diritti fondamentali e innovazione nel campo dell’intelligenza artificiale. La sua applicazione segue un calendario progressivo:

1. 2 febbraio 2025: Divieto degli usi ad alto rischio dell’IA (manipolazione subliminale, sfruttamento delle vulnerabilità, scoring sociale)
2. 2 agosto 2025: Obblighi per i grandi modelli di IA, implementazione delle autorità di vigilanza e del regime sanzionatorio
3. 2 agosto 2026: Applicazione completa, inclusa l’adozione di misure di cybersecurity

Se si utilizza l’IA (reclutamento, valutazione della solvibilità, chatbot, generazione di contenuti), entro agosto 2025 sarà necessario (elenco non esaustivo):

1. Designare dei responsabili per l’IA
2. Documentare tutti i casi d’uso
3. Stabilire politiche di utilizzo accettabile
4. Implementare un quadro di gestione del rischio

Per prepararsi all’applicazione completa e alle misure di cybersecurity, consigliamo le seguenti azioni:

1. Valutare le vulnerabilità di cybersecurity specifiche per i vostri sistemi di IA
2. Formare i team tecnici sui requisiti di cybersecurity relativi all’IA
3. Integrare la cybersecurity nel futuro quadro di gestione dei rischi

Dal trittico europeo alla conformità nazionale

Il 15 ottobre 2024, il governo francese ha presentato un disegno di legge finalizzato a rafforzare la resilienza delle infrastrutture critiche e la cybersecurity. Inizialmente previsto per i primi mesi del 2024, questo progetto è stato posticipato a causa della dissoluzione dell’Assemblea Nazionale alcuni mesi prima. Questo testo recepisce tre importanti direttive europee:

1. NIS 2: rafforzamento del livello generale di cybersecurity.
2. REC: riduzione delle vulnerabilità e rafforzamento della resilienza fisica delle entità critiche.
3. La direttiva associata a DORA: allinea diverse direttive settoriali esistenti al nuovo quadro creato dal regolamento omonimo.

Adottato in prima lettura dal Senato il 12 marzo 2025, il disegno di legge è stato trasmesso all’Assemblea Nazionale il 13 marzo 2025, dove è esaminato da una commissione speciale dedicata. Soggetto a una procedura accelerata dal 15 ottobre 2024, il testo sarà adottato definitivamente se non modificato dall’Assemblea, oppure inviato a una Commissione Mista Paritetica per risolvere le divergenze tra le due camere.

Dopo l’adozione della legge, i decreti attuativi specificheranno le modalità di implementazione.

Conclusione

Il 2025 segna l’applicazione concreta del quadro europeo della cybersecurity in Francia, con DORA, l’AI Act e un panorama legislativo in evoluzione. Le organizzazioni devono adattare rapidamente la propria governance, rivedere le pratiche di outsourcing e prepararsi alla supervisione dei sistemi di IA per soddisfare i nuovi requisiti di resilienza digitale. Il panorama della cybersecurity continuerà ad evolversi, con il Cyber Resilience Act (CRA) destinato ad applicarsi a partire dal 2026, introducendo nuove obbligazioni per i fornitori di prodotti e software digitali.