La Direttiva Network and Information Security NIS dell’Unione Europea e’ pronta al lancio.
Presentata alla fine del 2013 insieme alla Cyber Strategy targata UE, dopo una lunghissima gestazione ha ricevuto due semafori verdi: all’accordo fra il Parlamento e il Parlamento del 7 dicembre ha fatto seguito, il 18 Dicembre, il via libera del Comitato dei Rappresentanti Permanenti (Coreper).
Sembra solo una formalità adesso il voto positivo del Parlamento, che dara cosi forza esecutivo al provvedimento.
Il cui scopo e’ quello di stabilire una policy condivisa in materia, tale da garantire uniformità di approccio verso un settore strategico, e il 2015 lo ha confermato in pieno, quale quello della Cybersecurity.
La Direttiva individua e disciplina tre aspetti chiave.
Innanzitutto impone agli Stati Membri l’adozione di un regime regolamentare comune, che si deve estrinsecare nell’istituzione di un’Autorita’ dedicata, con compiti di regolamentazione, relazione e punto di contatto fra la società civile, il mondo delle imprese, i governi nazionali e le istituzioni europee.
I singoli paesi dovranno contestualmente definire il framework legale e regolamentare per la disciplina della materia, nonche promuovere la nascita di CERT (Computer Emergency Response Team) nazionali.
Il secondo pilastro della direttiva consiste nella creazione di un network europeo di cyber security. Delle ipotesi al vaglio quella che sembra aver preso piede (ma si aspetta la ratifica parlamentare prima di andare a vedere nel concreto se sara’ quella adottata), e’ la costituzione di un network duale: 1. un gruppo di cooperazione fra la Commissione, l’ENISA (European Union Agency for Network and Information Security) e i rappresentanti dei singoli stati; 2. un gruppo costituito dai rappresentanti dei CERT nazionali.
Il terzo, e discusso, pilastro concerne il risk management. La NIS sottopone alla propria disciplina tutti quei soggetti che operano nell’ambito dei cd “servizi essenziali”: energia, trasporti, banking, mercati finanziari, salute, acqua e infrastrutture digitali.
I parametri che circoscrivono i servizi essenziali sono tre:
- Fornire servizi essenziali;
- Il servizio fornito dipende dal funzionamento dei sistemi informativi;
- Un incidente dovuto ad un attacco cyber potrebbe generare un blocco del servizio.
Ad essi si aggiungono tutti i fornitori di servizi digitali, nonche’ marketplace quali Amazon, Ebay o motori di ricerca quali Google.
In capo a tutti questi soggetti graveranno obblighi di non poco conto, quali l’implementazione di uno standard minimo di sicurezza e la comunicazione all’Authority di tutti gli attacchi di una certa rilevanza a cui sono soggetti.
Si tratta di un effort economico e di una pubblicita’ di informazioni di non poco conto, in grado di influire pesantemente sul business o la mission di un’organizzazione.
Pertanto, e qui si intravede una prima criticita’ della direttiva, qualora uno stato membro vari un sistema sanzionatorio “leggero”, potrebbero generarsi, in tutto il sistema, effetti facilmente prevedibili.
Un altro aspetto che vale la pena di notare e’ quello relativo al timing di applicazione della direttiva stessa. Dal momento dell’entrata in vigore, i singoli Stati avranno 21 mesi per il varo di una normativa nazionale di riferimento e la creazione delle authorities. A questi si aggiungono ulteriori sei mesi per il censimento degli operatori dei servizi essenziali. Si tratta di un tempo enorme, specialmente quando si parla di minacce cyber, che evolvono con un tasso di crescita esponenziale. E mentre i governi di tutta Europa auspicano l’adozione di misure di cyber security quale mezzo necessario per la prevenzione al terrorismo, anche al prezzo della limitazione di alcune liberta’, l’Unione se la prende comoda, con la speranza che non si ripeta un’altra Parigi.