Il Parlamento europeo ha approvato in via definitiva nuove norme tese ad aumentare la sicurezza delle reti e dei sistemi informatici in tutta l’Ue.
La direttiva sulla sicurezza delle reti e dell’informazione (SRI) intensifica la cooperazione tra gli Stati membri sulla questione vitale della cybersicurezza e definisce obblighi di sicurezza per gli operatori di servizi essenziali (in settori critici come l’energia, i trasporti, l’assistenza sanitaria e la finanza) e i fornitori di servizi digitali (mercati online, motori di ricerca e servizi di cloud), i quali dovranno migliorare le lor difese contro gli attacchi informatici.
Attacchi che sono tutt’altro che un’eventualità remota: secondo un recente sondaggio, almeno l’80% delle imprese europee ha subito almeno un incidente di sicurezza informatica nel corso dell’ultimo anno, mentre il numero degli incidenti in tutti i comparti industriali a livello mondiale è aumentato del 38% nel 2015.
Anche per questo nei giorni scorsi la Ue ha avviato un nuovo partenariato pubblico-privato sulla cibersicurezza che dovrebbe generare investimenti per 1,8 miliardi di euro entro il 2020 (con 450 milioni di investimenti pubblici nel quadro del programma di ricerca e innovazione Orizzonte 2020).
Cosa prevede la direttiva NIS
Le nuove norme prevedono un “gruppo di cooperazione” per scambiare informazioni fra le autorità nazionali e fornire loro assistenza. Ogni Stato dell’UE dovrà adottare una strategia nazionale sulla sicurezza della rete e dei sistemi informativi e designare gruppi d’intervento per la sicurezza informatica in caso d’incidenti (CSIRT), che si occupino di trattare incidenti e rischi, discutere sulle problematiche di sicurezza transfrontaliera e identificare risposte coordinate. Ciascuno Stato dovrà inoltre identificare i soggetti che operano in settori quali l’energia, i trasporti, la sanità, il settore bancario e la fornitura di acqua potabile seguendo criteri specifici, tra cui la fornitura di servizi essenziali per il mantenimento di attività sociali ed economiche cruciali.
I fornitori di servizi digitali – mercati online, motori di ricerca e servizi di cloud computing – ad eccezione delle micro e piccole imprese digitali dovranno, oltre a garantire la sicurezza delle loro infrastrutture, notificare gli incidenti più rilevanti alle autorità nazionali competenti.
I tempi
La direttiva, proposta dalla Commissione nel 2013 ha ricevuto il via libera dal Parlamento, il Consiglio e la Commissione europea a dicembre del 2015 e nel maggio 2016 è stata approvata anche dal Consiglio d’Europa. Le nuove norme entreranno in vigore il ventesimo giorno successivo alla pubblicazione della direttiva sulla Gazzetta ufficiale dell’Ue e gli Stati membri avranno 21 mesi di tempo per recepire la direttiva negli ordinamenti nazionali e sei mesi supplementari per identificare gli operatori dei servizi essenziali.
I commenti
La direttiva sulla sicurezza delle reti e dei sistemi informativi nell’Ue, uno dei primi quadri legislativi che si applica alle piattaforme, stabilirà un livello comune elevato di sicurezza delle reti e dei sistemi informatici nell’Unione e rafforzerà la cooperazione tra gli Stati membri, aiutando a prevenire futuri attacchi informatici a importanti infrastrutture interconnesse in Europa. In linea con la strategia del mercato unico digitale, le nuove norme “stabiliscono i requisiti per le piattaforme online e assicura che possano rispettare tali norme ovunque esse operino nell’UE”, ha spiegato il relatore Andreas Schwab (PPE, DE), sottolineando l’importanza vitale di superare la frammentazione nella protezione informatica che “rende tutti noi vulnerabili e rappresenta un grande rischio per la sicurezza dell’Europa intera” dato che “…gli incidenti in ambito di sicurezza informatica presentano molto spesso una caratteristica transfrontaliera e, quindi, riguardano più di uno Stato membro dell’Unione Europea”.
Per il Vicepresidente Andrus Ansip è “essenziale che le persone e le imprese abbiano fiducia nei servizi digitali per sfruttarli al meglio: un vero mercato unico digitale può essere creato solo in un ambiente online sicuro e la direttiva NIS è il primo tassello della legislazione UE sulla sicurezza informatica e un elemento fondamentale per il nostro lavoro in questo settore”.
Per il Commissario Gunther Oettinger, la direttiva NIS e la partnership col settore privato “si rafforzano l’un l’altra e sono essenziali per la crescita dell’economia e della società digitale”.
