Che cos’è la Direttiva Unione Europea NIS?
A livello europeo, già oramai da un po’ di tempo, si è sentita l’esigenza di legiferare in materia di cyber security, cioè di sicurezza dei dati e delle informazioni della rete. Per questo motivo il 6 luglio 2006 è stata emanata dal Parlamento Europeo la cd. Direttiva NIS , cioè una direttiva che contiene una serie di misure legislative che hanno lo scopo di creare un livello comune, quanto più elevato possibile, di sicurezza delle reti e in generale dei sistemi informativi all’interno dell’Unione Europea. Lo scopo principale di questa normativa europea è di far sì che ogni singolo Stato Membro dell’Unione Europea migliori la propria capacità di gestire la sicurezza delle reti; che insieme se ne aumenti il livello, in modo comune e cooperato; che tutti gli Stati riescano a riconoscere e gestire i rischi, nonché gli errori più gravi da parte degli operatori e dei fornitori dei servizi digitali.
Provvedimenti dell’Unione Europea: direttive e regolamenti
Tra i provvedimenti dell’Unione Europea, la Direttiva è lo strumento emanato dal Parlamento che cerca di delineare tratti comuni in tutti gli Stati Membri, in un certo ambito, lasciando, però, di solito, dei margini di autonomia a ciascuno di essi. La Direttiva per divenire obbligatoria in uno Stato deve essere da quest’ultimo espressamente recepita con legge. Esistono Direttive che lasciano maggior o minore spazio di autonomia agli Stati Membri: ci sono quelle che contengono solo gli obiettivi da raggiungere e quelle che insieme all’obiettivo, indicano, pedissequamente tutto quello che è necessario fare perché ciò avvenga. Queste ultime prendono il nome di direttive self executing: ma anche queste hanno bisogno di una legge nazionale di recepimento affinché diventino obbligatorie. Diversamente è il caso dei Regolamenti, che sono direttamente obbligatori per gli Stati Membri, senza che questi debbano fare alcunché. Nell’ambito delle reti informatiche, si segnala, l’importanza del Regolamento Europeo per la Protezione dei Dati Personali. Materia peraltro già considera sensibile e degna di protezione in Italia.
Direttiva Unione Europea Network and Information Security (Direttiva NIS): cosa prevede nello specifico?
Nel caso della Direttiva NIS, ad esempio, essa deve essere recepita completamente entro il maggio 2018. Quanto al contenuto, essa prevede che ogni Stato membro sia obbligato ad adottare una strategia a livello nazionale in materia di cyber sicurezza. Il modo in cui questa strategia debba essere attuata dipende dalle scelte del singolo Paese Membro. Con lo stesso provvedimento l’Unione europea si occupa di adottare tutti gli strumenti necessari per una rete comune e di cooperazione, che sia rapida e anche efficace, affinché si sviluppi la fiducia tra gli Stati. Questi ultimi, inoltre, avranno il compito di nominare autorità nazionali competenti, nonché di figure che saranno investite della responsabilità di monitorare incidenti in questo settore: si parla in questo caso di CSIRT, che sta per Computer Security Incident Response Team.
Siti web conformi alla Direttiva NIS
Uno dei temi caldi della Direttiva NIS consiste nell’obbligo di comunicazione degli incidenti. Negli ultimi anni si sono susseguite diverse problematiche strutturali, crash di interi sistemi, o indotte, attacchi hacker più o meno circoscritti. Esse hanno portato all’esigenza di creare una rete di comunicazione tra operatori capace di arginare i danni derivanti da simili fenomeni, se non addirittura di evitarli. In passato dinanzi ad eventi del genere, spesso gli operatori non divulgavano notizie, per paura di poter dare di sè una immagine di instabilità sistemica, minando così la fiducia del pubblico. Tale obbligo informativo potrebbe essere visto come una vera e propria invasione nelle strategie anche imprenditoriali. Al contrario però deve essere colto come un punto di forza e una grande opportunità di riconoscere più facilmente disfunzioni e attacchi informatici, studiandoli, e rendendo sempre più rapide le risposte dinanzi a questi malfunzionamenti. Le disposizioni previste dalla Direttiva riguardano gli operatori di servizi essenziali (nel settore dei trasporti, energetico, bancario, sanitario, dell’acqua potabile, nonché nell’ambito delle infrastrutture digitali e dei mercati finanziari). Ma coinvolgono anche i fornitori di servizi digitali che operano in diverse categorie:
1) online marketplace;
2) cloud computing service;
3) online search engine.
Tempistica per la completa attuazione della Direttiva NIS.
La Direttiva NIS (Network and Information Security) è stata emanata il 6 luglio 2016. Si prevede che il gruppo di lavoro, una volta intraprese le sue attività, dovrebbe stabilire il programma di lavoro entro il febbraio 2018.
Già a partire dall’estate del 2017, gli operatori di servizi essenziali e i fornitori di servizi digitali saranno chiamati ad adottare tutti i requisiti minimi di sicurezza e di notifica degli incidenti. Entro la primavera del 2018 (maggio 2018), la Direttiva dovrà essere completamente recepita e integrata negli ordinamenti giuridici di tutti gli Stati Membri. Nei successivi 6 mesi, questi ultimi dovranno individuare gli operatori dei servizi essenziali. Entro il 2021 l’Unione Europea si occuperà di verificare ed esaminare la corretta applicazione delle regole e il corretto funzionamento, con particolare attenzione al coordinamento e alla cooperazione a livello europeo.
Articolo realizzato con la collaborazione di Posizionamentomdr