Un salto di qualità nel rafforzamento della Cyber Security è stato compiuto dal Consiglio Europeo con l’adozione della direttiva NIS, (Network and Information Security) avvenuta formalmente il 17/05/16.

 

La Cyber sicurezza entra così a pieno titolo nel lessico europeo attraverso un sistema in cui le varie iniziative nazionali dovranno integrarsi e coordinarsi rispondendo ad obiettivi chiari e precisi.

 

Quali le maggiori novità di questa direttiva?

  • un livello minimo di sicurezza per le tecnologie, le reti ed i servizi digitali, garantendo parità di condizioni tramite norme armonizzate;
  • imposizione a tutti gli Stati membri, società Internet, piattaforme di e-commerce, social network, servizi in materia di trasporti, banche e di assistenza sanitaria, oltre agli operatori delle principali infrastrutture, di garantire un ambiente digitale sicuro e affidabile.

 

 

In che modo verranno attuate?

  • obbligo per gli Stati membri di designare un’autorità competente nazionale per l’implementazione e l’enforcement della Direttiva e di organizzare squadre speciali (Computer Security Incident Response Teams – CSIRTs) responsabili nella gestione degli incidenti e dei rischi. A loro volta i team CSIRT di ogni stato si coordineranno all’interno di una rete comunitaria, la CSIRTs Network, con lo scopo di promuovere gli scambi e la cooperazione effettiva sulla cybersicurezza, condividendo le informazioni sui rischi. L’ENISA (Agenzia europea per la sicurezza delle reti e dell’informazione) si occuperà, invece, del Segretariato del CSIRTs Network;
  • maggiore protezione delle infrastrutture critiche con una serie di obblighi previsti a carico degli operatori affinché possano mettere in piedi sistemi capaci di resistere agli attacchi;
  • obbligo delle aziende, dei provider di servizi digitali quali i motori di ricerca, delle piattaforme di e-commerce e del cloud, ancorché dispongano di piani di sicurezza strutturati, di comunicare e notificare alle autorità nazionali cyber attacchi rilevanti. In tema di responsabilità, occorre ricordare, che se ad esempio, una società di servizi finanziari, assicurativi o sanitari delega i servizi di cloud computing a terzi, è su di essa che ricadrà la principale responsabilità in caso di violazione di dati o attacco informatico.

 

 

Con la direttiva Nis, finisce la fase in cui gli Stati avevano ampi margini di manovra vincolati solo dal generico obiettivo di “sicurezza nazionale”, indefinito da un punto di vista giuridico, e si entra invece in una dimensione nuova, fatta di regole cogenti stabilite a livello europeo rese ormai necessarie e non più differibili a causa della crescita esponenziale dei cyber attacchi, con grave pregiudizio per la nostra “economia digitale”.

Il 25 maggio il Consiglio trasmetterà la sua posizione al Parlamento europeo, che voterà il testo probabilmente durante la plenaria del 4-7 luglio; il che consentirebbe alla direttiva di entrare in vigore ad agosto. Dalla sua pubblicazione gli Stati avranno poi 21 mesi di tempo per recepirla e 6 mesi per identificare gli operatori di servizi essenziali e strategici ed i fornitori di servizi digitali previsti da essa previsti.

 

 

Dott.ssa Simona Piovano

Digital Forensics Consultant