Cybersicurezza: giro di vite Ue per enti e imprese
Rivista la direttiva sulla sicurezza informatica nell'Ue, con obblighi più stringenti e platea ampliata: i dettagli, le motivazioni e l'entrata in vigore.
A cura di Lorenzo Consoli
Al via il nuovo regime Ue per la cybersicurezza di imprese, amministrazioni e infrastrutture nei settori essenziali. La plenaria del Parlamento europeo ha approvato il 10 novembre a larghissima maggioranza (577 voti favorevoli, sei contrari e 31 astensioni) la revisione della direttiva NIS (Sicurezza delle reti e dei sistemi informativi) che era stata, nel 2016, il primo strumento legislativo a livello europeo sulla cybersicurezza nell’Unione.
La direttiva ha migliorato la “resilienza informatica” di soggetti pubblici e privati in sette settori specifici (energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali) e in tre servizi digitali (mercati online, motori di ricerca online e servizi di cloud computing), chiedendo agli Stati di garantire che gli operatori di servizi essenziali e i fornitori di servizi digitali introducessero requisiti di cybersicurezza e segnalassero gli incidenti.
Tuttavia, se la vecchia direttiva ha aumentato le capacità degli Stati membri in materia di sicurezza informatica, la sua attuazione si è rivelata difficile. Agli Stati membri era stata lasciata un’ampia discrezionalità nello stabilire i requisiti di sicurezza e di segnalazione di incidenti per gli operatori di servizi essenziali, e questo ha portato in diversi casi a un’attuazione dei requisiti della direttiva in modi significativamente diversi, con una frammentazione del mercato interno. Inoltre, la revisione si è resa necessaria a causa della crescente digitalizzazione del mercato e della rapida evoluzione delle minacce alla cybersicurezza , due fenomeni che si sono ulteriormente amplificati dall’inizio della crisi del Covid-19.
Direttiva NIS2
La direttiva del 2016 verrà ora abrogata e sostituita dalla nuova legislazione (NIS2), proposta dalla Commissione europea nel dicembre 2020. La direttiva Nis2, che dovrà ora essere adottata definitivamente anche dal Consiglio Ue (un atto formale, che non rimette in discussione l’accordo con il Parlamento europeo già concluso il 12 maggio scorso), entrerà in vigore 21 mesi dopo la sua pubblicazione sulla Gazzetta ufficiale dell’Unione.
La nuova legislazione stabilirà obblighi più severi in materia di cybersicurezza riguardo alla gestione del rischio, agli obblighi di segnalazione e alla condivisione delle informazioni da parte di imprese, amministrazioni e infrastrutture. I requisiti riguardano, tra l’altro, la risposta agli incidenti, la sicurezza della catena di approvvigionamento, la crittografia e la divulgazione delle vulnerabilità informatiche. Con la nuova direttiva, aumentano le entità e i settori che dovranno adottare misure per proteggersi dalle minacce informatiche.
I “settori essenziali” saranno determinati a livello Ue e non più dagli Stati membri, e comprenderanno energia, trasporti, banche, sanità, infrastrutture digitali, pubblica amministrazione e spazio.
Saranno poi coperti dalle nuove disposizioni anche i cosiddetti “settori importanti”: i servizi postali, la gestione dei rifiuti, i prodotti chimici, gli alimenti, la produzione di dispositivi medici, l’elettronica, i macchinari, i veicoli a motore e i fornitori di servizi digitali. Tutte le medie e grandi imprese attive o che forniscono servizi nei settori selezionati dovranno rispettare le nuove regole. In totale, si stima che la direttiva aiuterà circa 160.000 enti a rafforzare la propria sicurezza cibernetica.
Il Parlamento europeo ha rivendicato di aver ottenuto regole più chiare per le aziende, evitando che gli obblighi di segnalazione degli incidenti si traducano in un sovraccarico amministrativo e di costi, e di aver incluso il maggior numero possibile di enti governativi e pubblici nel campo di applicazione della direttiva. Non saranno obbligati a sottoporsi alle nuove norme, comunque, gli operatori nei settori della difesa, della sicurezza nazionale, della pubblica sicurezza, nonché i poteri giudiziari, le banche centrali e i parlamenti.
La direttiva si applicherà a livello nazionale e regionale, ma gli Stati membri conserveranno un margine di manovra per quanto riguarda il livello locale.
Le nuove disposizioni prevedono che sia stabilito un quadro per una migliore cooperazione e condivisione delle informazioni tra le diverse autorità e gli Stati membri, e che sia creata una banca dati europea sulle vulnerabilità informatiche. Questo permetterà di instaurare una rete europea per la preparazione e la gestione delle crisi nel campo della sicurezza cibernetica, e per la gestione coordinata degli incidenti più gravi. Inoltre, sarà predisposto un nuovo regime più rigoroso di vigilanza e di sanzioni armonizzate a livello Ue in caso di non rispetto dei requisiti della normativa.