CYBER SECURITY IN EUROPE

La Cyber sicurezza in Europa
La direttiva sulla sicurezza informatica (NIS), come primo atto legislativo dell’Unione, teso a raggiungere un livello elevato di sicurezza comune su tutti gli Stati membri, si è rivelato debole e con conseguente frammentazione a diversi livelli del mercato europeo.
Nel 2020 la Commissione EU, per far fronte a questo deficit normativo, ha lanciato una nuova strategia sulla sicurezza informatica in linea con le nuove priorità, essendo cambiato il panorama delle minacce e il campo d’azione della d’isciplina. Inoltre la trasposizione della direttiva metterà in luce molte lacune come la delimitazione poco chiara del campo di applicazione del documento normativo, nonché la crisi indotta dal covid-19 vedrà un Unione Europea più dipendente che mai dalla rete dei sistemi informatici.
La pandemia ha più che mai confermato l’importanza di preparare l’Unione al decennio digitale, migliorando la resilienza informatica, ed
in particolare per coloro che gestiscono servizi essenziali come sistemi sanitari ed energia.
A tal proposito nel Dicembre 2020 viene proposta la direttiva NIS 2, che abrogherà e sostituirà l’attuale normativa sulle misure per un livello comune ed elevato di sicurezza informatica su tutta l’Unione.
La Commissione ha pubblicato la sua nuova strategia sulla Cyber sicurezza fondando le nuove regole sulla resilienza, la sovranità tecnologica e la leadership, sviluppando capacità operative per prevenire e scoraggiare e rispondere alle situazioni critiche imminenti.
I noltre l’UE promuove un cyberspazio globale e aperto a tutti attraverso una maggiore cooperazione.
Tali orientamenti emergono appunto dalle conclusioni del Consiglio europeo in materia di strategia sulla cyber sicurezza nel piano decennale 2020/2030.
Valutazione della direttiva NIS
La Commissione ha effettuato una valutazione del funzionamento della direttiva NIS analizzandone la rilevanza e la coerenza, nonché l’efficacia e l’efficienza. In primis è stato evidenziato che l’ambito di applicazione di questa direttiva siatroppo limitato in termini di settori coperti e principalmente a causa della maggiore digitalizzazione che negli ultimi anni in Europa ha preso piede. È stato rilevato che la direttiva non riflette più tutti i settori che forniscono i servizi chiave all’economia e alla società nel suo insieme.
La direttiva ha concesso un’ampia discrezionalità agli Stati membri nello stabilire i requisiti di sicurezza e di segnalazione degli incidenti per gli operatori di servizi essenziali. Dalla valutazione emerge che in alcuni casi gli Stati membri hanno implementatoirequisiti in modo notevolmente diversi, creando un onere aggiunto per le aziende che operano in più di uno Stato membro. Gli Stati membri sono stati molto riluttanti ad applicare le sanzioni a tutti quegli organismi che non hanno messo in atto i dovuti requisiti di sicurezza non segnalando i relativi incidenti e provocando consegueinze negative per la resilienza informatica dei singoli operatori.
Diversi Stati membri non condividono tra di loro tutte le informazioni, provocando conseguenze estremamente negative ed in particolare sull’efficacia delle misure di Cyber sicurezza, oltre che sul liviello di consapevolezza situazionale comune europeo. Simultaneamente pò, avviene anche nell’ambito della condivisione di informazioni tra soggetti privati, le strutture di cooperazione a livello europeo e gli organismi privati. Su questa base la commissione ha considerato diverse opzioni per contrastare tali lacune, elaborando linee guide, seppur non vincolanti.
Sulla base di quanto è emerso la Commissione ha presentato una proposta di direttiva NIS 2 fondata su tre obiettivi principali:
• in primo luogo, la prospettiva mira ad aumentare il livello di resilienza informatica tra le imprese che operano nell’Unione in tutti i settori pertinenti, mettendo in atto regole che garantiscono a tutti gli enti pubblici, privati e la società nel suo complesso adeguate misure di sicurezza informatica.
La proposta estende in modo significativo il campo di applicazione dell’attuale direttiva, aggiungendo nuovi settori come le telecomunicazioni, le piattaforme di social media e la pubblica amministrazione. Inoltre stabilisce che tutti gli organismi attivi nei settori coperti dal quadro NIS 2 dovrebbero conformarsi automaticamente alle norme di sicurezza avanzate nella proposta.
• In secondo luogo, con questa proposta la Commissione mira a ridurre le incoerenze del mercato interno , allineando ulteriormente il campo di applicazione, i requisiti di sicurezza, la segnalazione degli incidenti e le disposizioni che disciplinano l’applicazione delle norme nazionali. In questo senso la proposta include un elenco di elementi chiave che tutte le aziende dovranno attuare.
Infine la proposta prevede un approccio in due fasi alla segnalazione degli incidenti: le aziende interessate hanno 24 ore di tempo per segnalare un incidente e per presentare il rapporto iniziale, seguito, poi da un rapporto finale entro e non oltre un mese dopo.
Per quanto riguarda l’applicazione stabilisce un elenco minimo di sanzioni amministrative ogni volta che gli operatori violano le norme in materia di gestione dei rischi per la sicurezza informatica ed i loro obblighi di segnalazione stabiliti nella direttiva NIS 2.
Le sanzioni amministrative possono andare fino a euro 10 milioni o al 2 % del fatturato totale delle aziende a livello mondiale.
• Infine, la direttiva NIS 2 dovrebbe migliorare il livello di consapevolezza congiunta delle situazioni e la capacità collettiva di prepararsi a rispondere alle situazioni critiche, adottando misure per aumentare il livello di fiducia tra le autorità competenti, condividendo maggiori informazioni e stabilendo regole e procedure in caso di incidenti o crisi sul larga scala.
Considerazioni finali
Le nuove norme proposte mirano a migliorare il modo in cui l’Europa previene e gestisce gli incidenti sulla sicurezza informatica e su larga scala introducendo responsabilità chiare, una pianificazione appropriata ed una maggiore cooperazione a livello europeo.
La nuova direttiva creerebbe così un quadro europeo per la gestione delle crisi, richiedendo agli Stati membri di adottare un piano in risposta agli incidenti ed alle crisi a livello europeo.
Per supportare la gestione coordinata degli incidenti a livello europeo, nonché per garantire lo scambio di informazioni, la proposta mira a rafforzare il ruolo del gruppo di cooperazione NIS 2 nel prendere decisioni ed aumentare la cooperazione tra gli Stati membri. Adottare una strategia nazionale in maniera che più autorità nazionali competenti possano controllare il rispetto della direttiva e nominare dei gruppi di risposta agli incidenti di sicurezza informatica per gestire le notifiche di incidenti, punti di contatto unici per fungere dal punto di collegamento con gli Stati membri. La direttiva NIS 2 avrà in fine, ‘l’obiettivo di migliorare la resilienza delle organizzazioni critiche contro le minacce fisiche di un gran numero di settori.