Abbiamo affrontato in precedenti articoli il tema del Mercato Unico Digitale, uno dei requisiti fondamentali per creare questo spazio liquido è la sicurezza dei dati e delle transazioni. In questo si inserisce il progetto UE per la cybersecurity, il tutto prende vita con la proposta di Direttiva 2013/0027(COD), dopo avere preso coscienza delle differenze esistenti tra stato e stato e tra pubblico e privato. La direttiva si proponeva di omogeneizzare il livello di sicurezza e le azioni dirette a garantire uno spazio sicuro ed affidabile garantendo requisiti comuni in tutta l’Unione Europea.
Il lavoro iniziato nel 2013 ha portato all’emanazione, nel dicembre 2015, della direttiva europea Network and Information Security (NIS) che ha ricevuto il via libera dal Parlamento, il Consiglio e la Commissione europea, e in gennaio 2016 dalla Commissione Mercato Interno del Parlamento, ed ora attende l’approvazione formale del Consiglio europeo per divenire esecutiva. La Direttiva impone agli Stati Membri l’adozione di una serie di misure di sicurezza che siano comuni, e impone la notifica degli incidenti ad una Autorità nazionale appositamente istituita allo scopo. I singoli Stati dovranno anche promuovere la nascita di Computer Emergency Response Team (CERT) nazionali, sulla base del CERT-UE. La notifica degli eventi critici non è un aspetto secondario, le aziende tendono a nascondere gli incidenti relativi alla sicurezza dei dati in loro possesso per non vedere sminuita la fiducia dei consumatori verso le imprese detentrici di dati sensibili, la Direttiva ne impone invece la pubblicità.
Altro aspetto forse non del tutto ancora chiarito, è il campo di applicazione della Direttiva, questa identifica i soggetti come gli operatori attivi nell’ambito dei “servizi essenziali”. Proprio la definizione di “servizio essenziale” è tema di discussione, questa attualmente comprende gli operatori di infrastrutture critiche (energia, mercati finanziari, sanità, acqua, trasporti, banche, infrastrutture digitali -internet exchange points e provider DNS-) e le società dell’informazione (e-commerce, social network, cloud computing, motori di ricerca, financial provider, ecc…). Ma se il testo originale della direttiva includeva anche questi operatori, il parlamento li ha poi esclusi, restringendo l’obbligo di notifica di incidenti gravi solo agli operatori infrastrutturali o a quegli operatori che servono infrastrutture critiche, esentando quindi aziende del calibro di Google, Facebook, Apple e simili. Inoltre molti stati membri stanno lavorando affinchè le notizie raccolte in merito agli incidenti occorsi restino confinate nel proprio ambito e non fatte circolare a livello comunitario, togliendo ulteriore forza all’attività di cybersecurity.
Altro caso spinoso da chiarire è il riferimento ai “clouds”, in merito a questo non è scontato identificare quali siano le aziende assoggettabili agli obblighi della Direttiva, la quasi totalità ha oramai un cloud o ne usufruisce presso un fornitore esterno. I tempi per l’attuazione da parte degli Stati membri sono piuttosto lunghi. I singoli Stati avranno, infatti, 21 mesi per il varo di una normativa quadro, poi ulteriori 6 mesi per il censimento degli operatori di servizi essenziali. Il rischio è che la montagna alla fine partorisca il classico topolino, ma se si vuole arrivare alla creazione di un Mercato Unico Digitale non si potrà evitare che tale spazio sia sicuro ed affidabile.
The more people rely on the internet the more people rely on it to be secure. A secure internet protects our freedoms and rights and our ability to do business. It’s time to take coordinated action – the cost of not acting is much higher than the cost of acting (Neelie Kroes, ex vice presidente per l’Agenda Digitale della Commissione Europea).
Sii il primo a commentare su "Cybersecurity, la nuova direttiva UE"