Con la nuova legislazione sulla cybersecurity in Europa, firmata il 7 dicembre 2015 da parte dei rappresentanti del Parlamento europeo, la Commissione europea e il Consiglio (che rappresenta gli Stati membri dell’UE), ci saranno grandi cambiamenti per gli istituti finanziari e ISP.
Regolamentazione
Questo processo di educazione e consapevolezza sulla sicurezza informatica e il suo potenziale nasce nel febbraio 2013 quando viene presentato il Piano di sicurezza informatica dell’UE per tutelare l’internet aperto, la libertà e le opportunità nella rete promosso dalla Commissione Europea, nel quale si delineavano le 14 azioni per migliorare la cyber security in Europa. I 5 punti salienti del testo riguardavano nello specifico:
- conseguire la resilienza informatica;
- ridurre drasticamente la criminalità informatica;
- sviluppare la politica di difesa e le capacità informatiche connesse alla politica di sicurezza e di difesa comune;
- sviluppare le risorse industriali e tecnologiche per la sicurezza informatica;
- istituire una coerente politica internazionale del ciberspazio per l’Unione europea e sostenere i valori fondamentali dell’UE
L’obiettivo ultimo di questa proposta, era di elevare un livello comune di sicurezza delle reti e dell’informazione (NIS) su tutta l’Unione Europea. Motivo principale? Un aumento sempre maggiore di attacchi informatici su vari settori, nello specifico in quello finanziario e degli ISP.
Ad ogni modo, con il raggiungimento del 7 dicembre 2015 della legislazione sulla cyber security in Europa, non tutti le parti si sono trovate di comune accordo, tra Stati Membri ci sono pareri contrari e soprattutto nel settore finanziario e degli ISP ci sono grandi cambiamenti.
Obblighi
Sia istituti finanziari (banche etc.) che fornitori di infrastrutture del mercato finanziario (comprese le sedi di negoziazione e le controparti centrali ndr.) sono incluse nel campo di applicazione della nuova direttiva NIS – all’articolo 3, e sono specificamente definite come “operatori di servizi essenziali”. Con questa denominazione sono inclusi anche i fornitori di energia elettrica e di gas, operatori di petrolio e gas naturale, compagnie aeree, marittime, ferrovie, aeroporti e porti, e operatori sanitari.
Secondo, quindi, questa nuova legge, i soggetti che rientrano nell’ambito, avranno diversi obblighi in caso di un attacco informatico. I così detti “servizi essenziali” devono prendere misure tecniche e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza delle reti e dei sistemi informativi che usano nelle loro operazioni (articolo 14). Oltre a dover prevenire e ridurre al minimo l’impatto degli incidenti informatici.
Gli operatori di ‘servizi essenziali’ devono anche informare le autorità nazionali competenti (regolatori nazionali) o gli enti creati appositamente, come Computer Security Incident Response Team (CSIRT), sugli incidenti che hanno un impatto “significativo” sulla continuità dei servizi che forniscono. Un incidente può essere classificato come “significativo” a seconda del numero di persone colpite, la durata dell’incidente, e la diffusione geografica (per esempio, se l’incidente colpisce servizi in diversi rami di una banca). Ci sarà, chiaramente, un certo margine di manovra per le autorità nazionali di regolamentazione nello sviluppare delle linee guida che specifichino in quale caso devono essere segnalati questi tipi di attacchi.
Il testo, in definitiva, pone una grande responsabilità per i fornitori di ‘servizi essenziali’. Ad esempio, anche se una società di servizi finanziari ha delegato i servizi di cloud computing a terzi, l’entità delegante detiene ancora la responsabilità principale di qualsiasi violazione di dati o di attacco informatico.
