È complessivamente positivo il parere del Garante della privacy europeo (EDPS) sulla proposta di aggiornamento della Direttiva NIS presentata dalla Commissione europea lo scorso dicembre: tuttavia l’autorità raccomanda, tra le altre cose, di assicurarsi che la nuova Direttiva non indebolisca in alcun modo la crittografia end-to-end e che venga prevista una maggiore collaborazione tra le autorità NIS e le autorità garanti della privacy.
I rilievi espressi dall’EDPS non sono vincolanti, ma con tutta probabilità verranno presi in seria considerazione durante l’iter legislativo in seno al Consiglio e al Parlamento europeo. È quindi possibile che alcune delle modifiche proposte dal Garante europeo vengano incorporate nel testo della Direttiva prima della sua definitiva adozione.
L’opinione sulla proposta di revisione della Direttiva NIS (detta anche Direttiva NIS 2) arriva dopo che l’autorità è stata chiamata ad esprimersi: la Commissione europea è tenuta a consultare l’EDPS ogni volta che pubblica una proposta legislativa che potrebbe avere un impatto sulla privacy dei cittadini europei.
Proposta di Direttiva NIS 2: analisi delle nuove misure di cyber sicurezza europee
Indice degli argomenti
I rilievi dell’EDPS sulla Direttiva NIS 2
Pur apprezzando nel complesso il testo e gli obbiettivi della proposta di Direttiva NIS 2, il Garante europeo ha suggerito alcune modifiche. Le principali sono le seguenti:
Crittografia end-to-end
Secondo l’EDPS, nel testo della Direttiva andrebbe chiarito che nessuno dei requisiti da questa imposti possa giustificare l’adozione di misure che indeboliscano la crittografia end-to-end tramite “backdoor” o simili soluzioni. A detta dell’EDPS, tale chiarimento sarebbe necessario alla luce del fatto che l’attuale considerando 54 della proposta di Direttiva NIS 2 prevede che l’uso della crittografia end-to-end vada riconciliato con le esigenze investigative delle autorità di pubblica sicurezza, e potrebbe quindi essere interpretato come una giustificazione all’introduzione di soluzioni tecnologiche che indeboliscano la crittografia end-to-end per facilitare le attività di indagine. Si tratta di un timore in parte giustificato, soprattutto alla luce delle proposte in materia di crittografia end-to-end recentemente avanzate dai governi della cosiddetta alleanza Five Eyes.
Rapporto con la normativa europea sulla protezione dei dati personali
L’EDPS ritiene che sarebbe opportuno indicare in maniera esplicita che l’adozione della Direttiva NIS 2 lascia impregiudicata l’attuale normativa europea sulla protezione dei dati personali (GDPR e Direttiva ePrivacy in primis), e non altera in alcun modo i compiti e i poteri da questa attribuititi alle autorità garanti della privacy. Attualmente, l’articolo 2 della proposta di Direttiva NIS 2 specifica che la stessa “si applica senza pregiudizio” di una serie di direttive europee, ma tra queste non menziona il GDPR e la Direttiva ePrivacy.
Cooperazione tra le autorità NIS e le autorità garanti della privacy
Secondo l’EDPS, al Comitato europeo per la protezione dei dati (EDPB) andrebbe attribuito un ruolo chiave nello sviluppo di policy e linee guida in materia di cybersecurity, ad esempio prevedendo un obbligo per l’Agenzia europea per la cibersicurezza (ENISA) di consultare l’EDPB nel contesto della stesura di linee guida in materia di cybersecurity o imponendo la partecipazione di un rappresentante dell’EDPB agli incontri del cosiddetto Gruppo di Cooperazione NIS. Ciò al fine di garantire una maggiore coerenza tra l’applicazione della normativa sulla privacy e quella sulla cybersecurity.
Andrebbe poi resa più sistematica la cooperazione tra le autorità NIS e le autorità garanti della privacy nei vari Stati membri.
Maggiore integrazione dei principi cardine in materia di privacy nel testo della Direttiva
L’EDPS suggerisce poi di fare espresso riferimento ad alcuni principi chiave del GDPR, quale quello della data protection by design and by default, all’interno della Direttiva NIS 2 in modo da garantire migliori sinergie e complementarietà tra i due quadri normativi, e per assicurarsi che gli operatori non trascurino di garantire il rispetto della privacy quando sviluppano le proprie policy in materia di cybersecurity o quando scelgono i propri fornitori di servizi legati alla sicurezza informatica.
Estensione dell’ambito di applicazione della Direttiva anche alle istituzioni europee
L’attuale Direttiva NIS non si applica alle istituzioni europee e la proposta di Direttiva NIS 2 non prevede alcuna modifica sul punto. L’EDPS ha invece rilevato come, al fine di garantire un livello di protezione uniforme all’interno dell’Unione europea, sarebbe opportuno estendere l’ambito di applicazione della Direttiva anche alle istituzioni europee.
Direttiva NIS 2, quanto manca all’adozione
L’iter di approvazione della Direttiva NIS 2 è già partito. Il testo della proposta di Direttiva NIS 2 è all’esame della Commissione per l’industria, la ricerca e l’energia (ITRE) del Parlamento europeo, la quale avrà un ruolo chiave nella prima fase dell’iter legislativo. È possibile che alcune delle raccomandazioni formulate dall’EDPS vengano raccolte dalla Commissione ITRE, la quale potrebbe suggerire degli emendamenti al testo della Direttiva in linea con le raccomandazioni del Garante europeo. L’iter legislativo è però ancora lungo e non è ancora chiaro quale sia la posizione dei vari stakeholder, in particolare quella dei governi degli Stati Membri, sul testo presentato dalla Commissione (e sulle modifiche suggerite dall’EDPS).
