A dicembre 2020 era stata annunciato l’aggiornamento della Direttiva NIS, Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi, recepita nel nostro ordinamento attraverso il decreto legislativo 18 maggio 2018, n. 65, anche detto “decreto legislativo NIS”, in vigore dal 24 giugno 2018.
La direttiva, incentrata sulla sicurezza delle reti e dei sistemi informativi per il decennio digitale dell’Unione Europea, è stata adottata il 6 luglio 2016 e pubblicata il 16 dicembre 2020 come primo atto legislativo sulla sicurezza informatica approvato dall’UE.
L’aggiornamento della direttiva si è reso necessario dall’avanzamento della digital transformation, dalla recente pandemia Covid-19 che ha mostrato le debolezze di imprese e determinati settori a livello digitale, dalla salute alla vendita al dettaglio, dalla produzione all’istruzione, per dare le giuste risposte al nuovo contesto in cui viviamo, in particolare per quanto concerne l’IoT, il 5G e le reti mobili di futura generazione.
La direttiva nella sua versione 2 deve essere ancora approvata formalmente e venti giorni dopo la sua pubblicazione in Gazzetta Ufficiale entrerà in vigore. Per gli Stati, invece, ci saranno ventuno mesi di tempo per adottarla.
Direttiva NIS 2, gli sviluppi attuali e gli scenari futuri: il punto
Indice degli argomenti
NIS 2: soggetti coinvolti e obiettivi
La direttiva NIS 2 coinvolgerà i soggetti che operano in ambiti strategici, ossia pubbliche amministrazioni, service provider pubblici di comunicazione elettronica, provider di servizi digitali, fornitori del trattamento delle acque reflue e la gestione dei rifiuti, chi opera nella fabbricazione di prodotti essenziali, servizi postali e di corriere, settore sanitario.
Tra gli obiettivi mirati a potenziare il livello di sicurezza, possiamo menzionare una maggiore rigidità dei requisiti di sicurezza per le aziende, maggiore sicurezza della supply chain e delle relazioni con i fornitori, responsabilità dei vertici delle organizzazioni in caso di condotte omissive rispetto agli obblighi in materia di cybersecurity, semplificazione degli obblighi di notifica, maggiore rigorosità delle misure di vigilanza per le autorità nazionali, obblighi di esecuzione severi, sistemi sanzionatori comuni tra gli Stati.
Sull’accordo raggiunto per la direttiva NIS 2, si è espresso il Commissario per il Mercato interno UE Thierry Breton, sottolineando che “le minacce informatiche si fanno più pericolose e complesse. Era imperativo adattare il quadro della sicurezza alle nuove realtà e tutelare i nostri cittadini e le nostre infrastrutture. Nell’attuale panorama della cyber security, è capitale poter cooperare e condividere tempestivamente le informazioni. Con l’accordo sulla NIS 2 aggiorniamo le norme per garantire un maggior numero di servizi essenziali alla società e all’economia. Si tratta quindi di un importante passo avanti. Questa strategia andrà ad arricchirsi della futura legge sulla cyber resilienza, che garantirà una maggior sicurezza d’uso dei prodotti digitali”.
Le sanzioni contro la guerra digitale
L’Unione Europea, nel frattempo, sta lavorando a una serie di misure, in coordinamento con la Nato, per difendersi dalla guerra digitale, che si sta combattendo a fianco di quella sul campo di battaglia, con attacchi cyber e diffusione di fake news da parte della Russia, mai visti prima d’ora, nei confronti dell’Ucraina, ma anche dei Paesi Nato e UE.
Tutto è partito già prima del 24 febbraio, giorno dell’invasione russa in Ucraina. Banche, istituzioni e aziende hanno subito, infatti, vari attacchi informatici, che avevano portato l’Unione Europea ad affiancarsi all’Ucraina.
In questo senso è stato attivato il CRRTS, ossia il “Cyber Rapid Response Teams and Mutual Assistance in Cyber Crime”, un team di esperti abilitati all’azione rapida, così come alla valutazione del livello di vulnerabilità, a seguito di attacchi informatici in Ucraina, coordinato dalla Lituania, all’interno del progetto Pesco (cooperazione strutturata permanente nel quadro della politica di sicurezza e di difesa Ue).
Inoltre, il Parlamento Europeo, con la risoluzione del primo marzo, aveva chiesto un esame urgente della candidatura dell’Ucraina al Centro di eccellenza per la cyber difesa cooperativa della Nato, con sede in Estonia, ottenendo esito positivo.
Secondo un rapporto di Microsoft, l’Ucraina ha subito almeno 237 operazioni cyber dall’inizio del conflitto russo-ucraino e le vittime sono state istituzioni e strutture statali, così come servizi e infrastrutture per i civili.
Questi dati ci mostrano il rischio che una cyberwar possa trovare sempre più terreno fertile e espandersi anche in ambito mondiale. La guerra in ambito digitale andrebbe oltre i confini dell’Ucraina, colpendo i Paesi Nato e l’Unione Europea, oltre al rischio di vedere danneggiati i cavi sottomarini dagli attacchi russi fino all’interruzione della comunicazione via internet e delle telecomunicazioni internazionali.
Cyberwar e disinformazione russa, la Ue al contrattacco: ecco la strategia
In questo quadro che si sta delineando da mesi, l’Europa ha deciso di attivare delle sanzioni volte ad arginare la situazione, che vanno dal divieto di esportazione verso Mosca della tecnologia dual-use, colpendo, così, i prodotti tecnologici avanzati, come droni e software per i droni, software per i dispositivi di cifratura, semiconduttori ed elettronica avanzata, e la fornitura di servizi di assistenza tecnica da parte di imprenditori che forniscono servizi militari e tecnologie allo Stato russo, alla lotta alla disinformazione e alla diffusione di fake news con la costituzione di una task force dedicata e con la sospensione della trasmissione delle attività televisive dei due organi di informazione pubblici Sputnik e Russia Today nel territorio europeo, insieme alle controllate RT-Francia, Germania, Regno Unito e Spagna.
