Cybersecurity: l’Europa vuole rivedere la direttiva NIS del 2016, ritenuta migliorabile sotto diversi punti di vista. Scopriamo cos’è la direttiva NIS e quali sono le modifiche previste nella nuova NIS2.
Cybersecurity in Europa: dalla NIS alla NIS2
La Commissione Europea ha deciso: la cybersicurezza nella UE deve dotarsi di una direttiva al passo con i tempi.
È stata dunque presentata la proposta di revisione NIS2, che intende ampliare e ammodernare la precedente NIS.
La direttiva NIS
La diretta NIS per la cybersecurity in Europa è stata emanata il 6 luglio 2016, per creare un elevato standard comune di sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea.
Lo scopo della normativa era di consentire a ogni Stato membro dell’UE di migliorare la propria capacità di gestione della sicurezza delle reti, rischi compresi, e di aumentarne il livello di efficienza. Tutto ciò all’interno di una strategia comune e di forte cooperazione.
I limiti della direttiva NIS
Nei cinque anni dall’emanazione della direttiva NIS a oggi, sono emersi alcuni limiti da superare. Tra questi, la poca chiarezza della definizione di “operatori di servizi essenziali”, una differente e frammentata applicazione dei principi da parte dei vari Stati membri e una scarsa condivisione delle conoscenze tra le varie Autorità.
L’efficacia della direttiva NIS è stata inferiore a quanto previsto. Al punto che già nel marzo del 2019 il Parlamento Europeo aveva incoraggiato un’estensione dell’ambito di applicazione della direttiva NIS ad altri settori critici e una maggior condivisione delle informazioni relative a minacce e incidenti.
La direttiva NIS2
Va anzitutto ricordato che la proposta della direttiva NIS 2 è inserita in un più vasto programma dell’Unione Europea, delineato nel documento Shaping Europe’s digital future.
Questa strategia si basa su quattro elementi: la protezione dei dati personali, la tutela dei diritti fondamentali, la sicurezza e appunto la cybersecurity.
I perché di una nuova direttiva
I motivi che rendono necessaria una nuova direttiva sono essenzialmente tre. Il primo, già visto, riguarda la parziale inadeguatezza della precedente direttiva NIS. Soprattutto, la sua disomogeneità di recepimento da parte degli Stati e alcuni passaggi poco chiari.
La soglia della cybersicurezza va poi alzata perché cinque anni, per quanto riguarda il digitale, sono moltissimi, e oggi ci troviamo di fronte a nuove realtà, nuovi problemi e nuove minacce.
Infine, perché si è calcolato che la perdita economica imputabile agli attacchi informatici è raddoppiata in sei anni: dai tremila miliardi di dollari del 2014 ai seimila del 2020.
Cybersecurity in Europa: cosa cambierà con la direttiva NIS2
La direttiva NIS2 punterà a un ecosistema normativo comune a tutti gli Stati membri, a tutela dei dati e della sicurezza digitale. Saranno svariate le novità: vediamo le principali.
Si interverrà intanto sulle ambiguità della precedente direttiva. L’ambito di applicazione della NIS2 sarà esteso ad altri settori critici e saranno definiti con chiarezza gli “operatori di servizi essenziali”.
Anzi, una nuova classificazione farà decadere la distinzione tra “operatori di servizi essenziali” e “fornitori di servizi digitali”. Con la direttiva NIS2 si parlerà di “entità essenziali” (settori strategici come l’energia e l’acqua, i trasporti, i mercati finanziari, la salute, l’erogazione di credito, la pubblica amministrazione) e di “entità importanti” (come poste, rifiuti, settore alimentare e servizi digitali).
Sarà migliorato un altro aspetto fondamentale, e cioè la politica di condivisione delle informazioni relative a incidenti e minacce informatiche.
Oltre a introdurre una nuova nozione di incidente significativo ai fini dell’obbligo di notifica, la direttiva NIS 2 ne ridefinisce le tempistiche. Mentre la NIS prevedeva genericamente l’obbligo di notifica degli “incidenti di impatto rilevante”, la proposta attuale adotta un approccio integrato agli incidenti e alle minacce cibernetici. Chi subisce un incidente significativo deve notificarlo all’autorità competente entro 24 ore. Successivamente integrando, se necessario, la segnalazione, e presentando, in ogni caso, un report finale entro un mese.
Infine, le piccole e medie imprese (salvo eccezioni) non rientreranno nella direttiva, per evitare che siano gravate da eccessivi oneri.
Prevenzione ma anche ricerca
Oltre alle misure a favore della sicurezza digitale incluse nella proposta di direttiva NIS2, Bruxelles sta anche pensando a investire sulla ricerca.
Secondo Roberto Viola, a capo della direzione generale Connect della Commissione europea, sono pronti 3-400 milioni di euro per cofinanziare una rete di centri di cybersecurity, la cui attività sarà coordinata dal Centro europeo di competenza sulla cybersicurezza, con sede a Bucarest.
Leggi anche: Al via la campagna UE per la sicurezza informatica
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🍎Nuovi iPad e accessori: cosa aspettarsi dall’evento Apple del 7 maggio
🛒 Le migliori offerte della Amazon Gaming Week
🎮L’emulatore Nintendo Delta sta per arrivare su iPad
🪪Social card “Dedicata a te”:cos’è e come si potrà utilizzare il bonus da 460 euro
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
