fbpx
NewsTech

Nuova strategia dell’UE sulla cybersecurity

L’Unione Europea ha avviato l’iter di approvazione della direttiva NIS2, che è la proposta di revisione della precedente direttiva NIS

Cybersecurity: l’Europa vuole rivedere la direttiva NIS del 2016, ritenuta migliorabile sotto diversi punti di vista. Scopriamo cos’è la direttiva NIS e quali sono le modifiche previste nella nuova NIS2.

Cybersecurity in Europa: dalla NIS alla NIS2

La Commissione Europea ha deciso: la cybersicurezza nella UE deve dotarsi di una direttiva al passo con i tempi.

È stata dunque presentata la proposta di revisione NIS2, che intende ampliare e ammodernare la precedente NIS.

La direttiva NIS

La diretta NIS per la cybersecurity in Europa è stata emanata il 6 luglio 2016, per creare un elevato standard comune di sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea.

Lo scopo della normativa era di consentire a ogni Stato membro dell’UE di migliorare la propria capacità di gestione della sicurezza delle reti, rischi compresi, e di aumentarne il livello di efficienza. Tutto ciò all’interno di una strategia comune e di forte cooperazione.

I limiti della direttiva NIS

Nei cinque anni dall’emanazione della direttiva NIS a oggi, sono emersi alcuni limiti da superare. Tra questi, la poca chiarezza della definizione di “operatori di servizi essenziali”, una differente e frammentata applicazione dei principi da parte dei vari Stati membri e una scarsa condivisione delle conoscenze tra le varie Autorità.

L’efficacia della direttiva NIS è stata inferiore a quanto previsto. Al punto che già nel marzo del 2019 il Parlamento Europeo aveva incoraggiato un’estensione dell’ambito di applicazione della direttiva NIS ad altri settori critici e una maggior condivisione delle informazioni relative a minacce e incidenti.

cybersecurity europa

La direttiva NIS2

Va anzitutto ricordato che la proposta della direttiva NIS 2 è inserita in un più vasto programma dell’Unione Europea, delineato nel documento Shaping Europe’s digital future.

Questa strategia si basa su quattro elementi: la protezione dei dati personali, la tutela dei diritti fondamentali, la sicurezza e appunto la cybersecurity.

I perché di una nuova direttiva

I motivi che rendono necessaria una nuova direttiva sono essenzialmente tre. Il primo, già visto, riguarda la parziale inadeguatezza della precedente direttiva NIS. Soprattutto, la sua disomogeneità di recepimento da parte degli Stati e alcuni passaggi poco chiari.

La soglia della cybersicurezza va poi alzata perché cinque anni, per quanto riguarda il digitale, sono moltissimi, e oggi ci troviamo di fronte a nuove realtà, nuovi problemi e nuove minacce.

Infine, perché si è calcolato che la perdita economica imputabile agli attacchi informatici è raddoppiata in sei anni: dai tremila miliardi di dollari del 2014 ai seimila del 2020.

commissione europea

Cybersecurity in Europa: cosa cambierà con la direttiva NIS2

La direttiva NIS2 punterà a un ecosistema normativo comune a tutti gli Stati membri, a tutela dei dati e della sicurezza digitale. Saranno svariate le novità: vediamo le principali.

Si interverrà intanto sulle ambiguità della precedente direttiva. L’ambito di applicazione della NIS2 sarà esteso ad altri settori critici e saranno definiti con chiarezza gli “operatori di servizi essenziali”.

Anzi, una nuova classificazione farà decadere la distinzione tra “operatori di servizi essenziali” e “fornitori di servizi digitali”. Con la direttiva NIS2 si parlerà di “entità essenziali” (settori strategici come l’energia e l’acqua, i trasporti, i mercati finanziari, la salute, l’erogazione di credito, la pubblica amministrazione) e di “entità importanti” (come poste, rifiuti, settore alimentare e servizi digitali).

Sarà migliorato un altro aspetto fondamentale, e cioè la politica di condivisione delle informazioni relative a incidenti e minacce informatiche.

Oltre a introdurre una nuova nozione di incidente significativo ai fini dell’obbligo di notifica, la direttiva NIS 2 ne ridefinisce le tempistiche. Mentre la NIS prevedeva genericamente l’obbligo di notifica degli “incidenti di impatto rilevante”, la proposta attuale adotta un approccio integrato agli incidenti e alle minacce cibernetici. Chi subisce un incidente significativo deve notificarlo all’autorità competente entro 24 ore. Successivamente integrando, se necessario, la segnalazione, e presentando, in ogni caso, un report finale entro un mese.

Infine, le piccole e medie imprese (salvo eccezioni) non rientreranno nella direttiva, per evitare che siano gravate da eccessivi oneri.

Offerta

Prevenzione ma anche ricerca

Oltre alle misure a favore della sicurezza digitale incluse nella proposta di direttiva NIS2, Bruxelles sta anche pensando a investire sulla ricerca.

Secondo Roberto Viola, a capo della direzione generale Connect della Commissione europea, sono pronti 3-400 milioni di euro per cofinanziare una rete di centri di cybersecurity, la cui attività sarà coordinata dal Centro europeo di competenza sulla cybersicurezza, con sede a Bucarest.

Claudio Bagnasco

Claudio Bagnasco è nato a Genova nel 1975 e dal 2013 vive a Tortolì. Ha scritto e pubblicato diversi libri, è co-fondatore e co-curatore del blog letterario Squadernauti. Prepara e corre maratone con grande passione e incrollabile lentezza. Ha raccolto parte delle sue scritture nel sito personale claudiobagnasco.com

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button