La Commissione Europea e l’Alto Rappresentante dell’Unione per gli affari esteri e la politica di sicurezza hanno appena pubblicato il nuovo pacchetto di misure in materia di cyber security per la realizzazione della strategia UE per la sicurezza informatica, chiamata “EU’s Cybersecurity Strategy for the Digital Decade”.
Indice degli argomenti
Obiettivi della nuova strategia cyber europea
L’obiettivo è quello di affrontare sia la resilienza informatica che quella fisica delle entità europee, delle reti e delle infrastrutture critiche, mirando a rafforzare la sua leadership in materia di norme e standard internazionali nel cyberspazio e di rafforzare la cooperazione con i partner di tutto il mondo per promuovere un cyberspazio globale, aperto, stabile e sicuro, fondato sullo stato di diritto, sui diritti umani, sulle libertà fondamentali e sui valori democratici.
In tale ottica, la Commissione ha presentato anche una proposta legislativa volta ad aggiornare la Direttiva NIS (che potrebbe essere identificata come “NIS 2”) per raggiungere un più elevato livello comune di sicurezza informatica in tutta l’Unione e una nuova direttiva sulla resilienza delle entità critiche che coprono un’ampia gamma di settori. Entrambe le nuove direttive mirano ad affrontare i rischi attuali e futuri sia online sia offline: dagli attacchi cibernetici alla criminalità o ai disastri naturali, in modo coerente e complementare.
“Se c’era bisogno di una conferma della serietà con cui la Commissione Europea sta affrontando il tema della cyber security, le proposte presentate oggi l’hanno sicuramente fornita”, è il commento di Luca Tosoni, avvocato e ricercatore presso l’Università di Oslo.
“La serietà dell’approccio della Commissione”, continua l’avvocato Tosoni, “è evidenziata dal fatto che ha ritenuto opportuno proporre un aggiornamento sostanziale della Direttiva NIS a soli due anni dalla sua piena applicazione. Ciò avviene abbastanza di rado, e quindi sottolinea l’importanza della proposta della Commissione. Basti pensare che alcuni Stati Membri non hanno ancora attuato a pieno la Direttiva NIS, e per questo sono stati sottoposti a procedura di infrazione da parte della Commissione”.
Nuova strategia UE per la sicurezza informatica: le novità
La nuova strategia europea per la sicurezza informatica rappresenta dunque uno sviluppo di estrema importanza in quanto mira a rafforzare la resilienza collettiva dell’Europa contro le minacce informatiche e contribuirà a garantire che tutti i cittadini e le imprese possano beneficiare pienamente di servizi e strumenti digitali affidabili.
In particolare, le nuove misure in materia di cyber security consentiranno ai cittadini europei di utilizzare i propri dispositivi smart e IoT, i servizi bancari e quelli offerti dalla pubblica amministrazione con la garanzia di essere protetti dalle minacce informatiche.
Gli obiettivi della Direttiva “NIS 2”
Con la proposta di riforma delle norme sulla sicurezza delle reti e dei sistemi di informazione, alla luce di quella che potrebbe essere la nuova “NIS 2”, la Commissione Europea si pone dunque l’obiettivo di aumentare il livello di resilienza informatica dei settori pubblici e privati critici: ospedali, reti energetiche, ferrovie, ma anche data center, amministrazioni pubbliche, laboratori di ricerca e produzione di dispositivi medici e medicinali critici, nonché di altre infrastrutture e servizi critici con l’obiettivo di renderli “impermeabili” in un contesto di minaccia sempre più rapido e complesso.
Ancora secondo l’avvocato Tosoni, “un aggiornamento della Direttiva NIS si è reso necessario anche alla luce dell’accelerazione del processo di digitalizzazione connessa all’attuale pandemia e all’aumento delle minacce cibernetiche collegate alla stessa. Ad esempio, in alcuni Stati Membri, gli ospedali del sistema sanitario non sono stati inclusi tra i soggetti sottoposti all’obbligo di adottare le misure di sicurezza imposte dalla NIS, e sono quindi risultati maggiormente esposti a minacce cibernetiche nel contesto della crisi legata alla COVID-19”.
“Tra le novità maggiori introdotte dalla proposta della Commissione è particolarmente rilevante l’estensione degli obblighi NIS anche a soggetti operanti in settori ad oggi non coperti, come il settore aerospaziale, della gestione dei rifiuti e della produzione di alimenti”.
L’avvocato Tosoni segnala, inoltre, “che non saranno più i singoli Stati Membri ad identificare gli “operatori di servizi essenziali” soggetti agli obblighi della Direttiva, ma è la Direttiva stessa a definire il proprio ambito di applicazione. Ciò è dovuto al fatto che, nella pratica, gli attuali criteri per l’identificazione degli “operatori di servizi essenziali” sono risultati poco chiari e sono stati applicati in maniera diversa nei diversi Stati Membri”.
“La proposta di revisione della Direttiva NIS”, conclude Tosoni, “si accompagna ad una proposta di Direttiva sulla resilienza dei soggetti critici volta ad introdurre misure a tutela di aziende ed enti operanti in settori critici rispetto a minacce alla loro sicurezza fisica. Si tratta di un connubio fondamentale, data la natura sempre più ibrida delle minacce”.
Uno scudo di sicurezza cibernetica
A tal proposito, l’idea della Commissione Europea è quella di strutturare in tutta l’Unione una rete di centri operativi di sicurezza che, grazie all’uso dell’intelligenza artificiale (AI), costituiranno un vero e proprio scudo di sicurezza cibernetica per l’UE, in grado di rilevare i segnali di un cyber attacco con sufficiente anticipo e di consentire un’azione proattiva, prima che si verifichino danni.
Maggiore attenzione alle PMI
Nel pacchetto di misure in materia di cyber security, la Commissione Europea ne ha incluso alcune a sostegno delle piccole e medie imprese (PMI) nell’ambito dei Digital Innovation Hubs. In questo caso, l’obiettivo è quello di migliorare le competenze della forza lavoro, attrarre e trattenere i migliori talenti della sicurezza informatica e investire nella ricerca e nell’innovazione aperta, competitiva e basata sull’eccellenza.
La nuova Cyber Unit di prevenzione e risposta alle minacce
Interessante anche il progetto della Commissione Europea di costruire una vera e propria unità di sicurezza cibernetica congiunta (ribattezzata Cyber Unit) per rafforzare la cooperazione tra gli organismi dell’UE e le autorità degli Stati membri responsabili della prevenzione, della dissuasione e della risposta agli attacchi informatici, comprese le comunità civili, le forze dell’ordine, la diplomazia e la difesa informatica.
Da segnalare, in questo contesto, la proposta dell’Alto Rappresentante di rafforzamento della Cyber Diplomacy Toolbox dell’UE per la difesa delle infrastrutture critiche, le catene di approvvigionamento, le istituzioni e i processi democratici da tutte le possibili attività informatiche dannose.
Anche in questo caso, l’obiettivo dell’UE è quello di rafforzare ulteriormente la cooperazione tra gli Stati Membri e sviluppare capacità di difesa informatica all’avanguardia, basandosi sul lavoro dell’Agenzia europea per la difesa e incoraggiando gli stessi Stati membri ad avvalersi pienamente della cooperazione strutturata permanente e del Fondo europeo per la difesa.
Assicurare la sicurezza delle reti 5G e di nuova generazione
Ancora, nell’ambito della nuova strategia di sicurezza informatica, gli Stati membri, con il sostegno della Commissione e dell’ENISA, saranno chiamati a completare l’implementazione del Toolbox 5G adottando un approccio globale e oggettivo basato sul rischio per la sicurezza delle reti mobili di nuova generazione.
Secondo un rapporto pubblicato oggi, la maggior parte degli Stati membri è già sulla buona strada per l’attuazione delle misure raccomandate dalla Commissione. Essi dovrebbero ora mirare a completarne l’attuazione entro il secondo trimestre del 2021 e garantire che i rischi individuati siano adeguatamente mitigati, in modo coordinato, in particolare al fine di ridurre al minimo l’esposizione ai fornitori ad alto rischio ed evitare la dipendenza da questi ultimi.
Nuova strategia UE per la sicurezza informatica: prossime tappe
I lavori di attuazione della nuova strategia UE di sicurezza informatica europea verranno dettagliati costantemente nei prossimi mesi dalla Commissione europea e dall’Alto Rappresentante, in modo da tenere il Parlamento europeo, il Consiglio dell’Unione europea e le parti interessate sempre aggiornati sui progressi compiuti.
Spetta ora al Parlamento europeo e al Consiglio esaminare e adottare la proposta di direttiva NIS 2 e la direttiva sulla resilienza delle entità critiche. Una volta concordate e conseguentemente adottate, le proposte dovranno essere recepite dagli Stati membri entro 18 mesi dalla loro entrata in vigore.
Come di consueto, infine, la Commissione Europea riesaminerà periodicamente la direttiva NIS 2 e la direttiva sulla resilienza delle entità critiche e riferirà sul loro funzionamento.
