Il 6 luglio il Parlamento europeo ha adottato la direttiva Network and Information Security – NIS recante misure per un alto livello di sicurezza comune della rete e dei sistemi informatici tra gli Stati dell’UE. La direttiva NIS rappresenta il culmine di un lungo iter legislativo iniziato nel 2013 per l’implementazione di nuove regole in materia di cybersicurezza.
«Questa è stata una settimana importante per la cybersicurezza in Europa. L’adozione della prima legislazione europea sulla cybersicurezza supporterà e faciliterà la cooperazione strategica tra Stati Membri così come lo scambio di informazioni» (Günter H. Oettinger, commissario europeo per l’economia e le società digitali).
Prima non esisteva un quadro europeo che prevedeva una cooperazione tra Stati riguardo alla condivisione delle informazioni sulla sicurezza dei sistemi informatici. Per rispondere alla potenza del mercato digitale e di Internet, sempre più complici nel favorire il progresso globale, ma allo stesso tempo generatori di rischi, attacchi e disfunzioni, nel 2013 fu adottata la Strategia Europea sulla Cybersecurity. La Commissione ha incrementato i suoi sforzi per tutelare i cittadini internauti stanziando più di 600 milioni di euro di investimenti per la ricerca e l’innovazione (fondo Horizon 2020) sui progetti legati alla cybersecurity durante il periodo 2014-2020. Dinanzi al rischio di frammentarietà delle mere strategie nazionali, che portano a sforzi non coordinati ed insufficienti, l’obiettivo è quello di fornire un quadro generale strategico, di concerto con l’Agenda Europea sulla sicurezza, per le iniziative sulla sicurezza cibernetica e la lotta al cybercrimine. Strategia che lavora su un vasto numero di fronti: dall’aumentare le capacità di difesa degli Stati Membri ad armonizzare le legislazioni nazionali alla luce della cyberresilienza. Un concetto che si declina nella cooperazione tra le autorità private, pubbliche e sovranazionali al fine di apportare risposte adeguate alle situazioni di emergenza informatica.
Le principali novità della direttiva per gli Stati membri
La NIS rappresenta lo strumento legislativo della Strategia appena disaminata. Senza arrecare alcun pregiudizio alle disposizioni dell’art. 346 TFUE, che lascia allo Stato membro la discrezionalità di non divulgare le proprie informazioni in materia di sicurezza, il testo obbliga la condivisione di informazioni confidenziali laddove lo scambio risulti necessario per l’applicazione della direttiva e la protezione degli interessi commerciali dell’UE.
A livello nazionale ogni Stato Membro dovrà adottare una strategia nazionale sulla sicurezza delle reti e dei sistemi informatici definendo gli obiettivi strategici e le misure normative appropriate. Al fine di espletare questa funzione lo Stato Membro dovrà designare un’autorità nazionale competente, per monitorare la trasposizione della Direttiva NIS, e uno o più gruppi di risposta agli Incidenti legati alla sicurezza informatica (CSIRTs – Computer Security Incident Response Teams) che si impegneranno a monitorare i cyberattacchi a livello nazionale attraverso azioni di prevenzione e una pronta abilità di risposta.
A livello europeo, invece, la direttiva NIS stabilisce un Gruppo di cooperazione (il primo gruppo sarà riunito a febbraio 2018) composto dai rappresentanti degli Stati Membri, della Commissione e dall’Agenzia UE per la Sicurezza dell’informazione e delle reti (ENISA), al fine di semplificare la cooperazione strategica stabilendo un Programma di lavoro, lo scambio di informazioni e di best practices e una reportistica sulla cooperazione da inviare alla Commissione. Inoltre, ciascun CSIRT nazionale eserciterà una funzione di liaison intraeuropea tramite un network di cooperazione operazionale che contribuisce allo sviluppo e alla fiducia tra Stati Membri a cui fa capo il Gruppo di Risposta all’emergenza informatica dell’UE (CERT – Computer Emergency Response Team).
La direttiva si applica a tutti gli operatori dei “servizi essenziali” dei rispettivi Stati Membri al fine di adottare misure organizzative e tecniche per gestire i rischi posti alla sicurezza dell’informazione e delle reti informatiche e notificare ai CSIRT nazionali quelli che possono essere gli impatti rilevanti da pregiudicare la continuità del “servizio essenziale” distribuito. La definizione di “servizio essenziale” è stata messa in discussione sin dal 2013, ma attualmente comprenderebbe tutte le società che operano in settori particolarmente cruciali quali l’energia, i trasporti, l’acqua, la sanità e la finanza, i servizi bancari e le infrastrutture digitali. Ciascun Stato membro deve quindi identificare gli operatori dei servizi essenziali sulla base dell’indispensabilità del servizio offerto, della dipendenza dai sistemi informatici e tenendo i considerazione i rischi e le conseguenze degli incidenti cibernetici sulle attività e sulla sicurezza pubblica.
All’adozione da parte del Parlamento europeo seguirà l’entrata in vigore della direttiva (agosto 2016) e gli Stati europei avranno 21 mesi di tempo per la trasposizione nell’ordinamento nazionale.
Nella vastità del reame cyberspaziale, l’Unione Europea ha creato una base dalla quale poter trarre norme sempre più sicure e progressive al crescere dell’evoluzione e della complessità dei sistemi informatici. Ci si aspetta che gli Stati membri prendano i provvedimenti legislativi di attuazione tenendo in considerazione due fondamentali priorità: le libertà fondamentali dell’individuo e la conseguente protezione dei dati personali per un reale e virtuale “Open, Safe and Secure Cyberspace”.
Annalisa Salvati