La sicurezza cibernetica del Vecchio continente ha compiuto un altro passo verso il proprio rafforzamento. Il 17 maggio il Consiglio europeo ha approvato il testo della Direttiva Network and Information Security (Nis). Quest’ultima prevede di imporre un livello minimo di sicurezza per le tecnologie, le reti e i servizi digitali, garantendo parità di condizioni tramite norme armonizzate e obbligherà tutti gli Stati membri, società Internet, piattaforme di e-commerce, social network e servizi in materia di trasporti, banche e assistenza sanitaria, oltre agli operatori delle principali infrastrutture, di garantire un ambiente digitale sicuro e affidabile.
Proseguendo su un percorso che dura da circa 3 anni, il 25 maggio il Consiglio ha trasmesso la sua posizione al Parlamento europeo, che voterà il testo probabilmente durante la plenaria del 4-7 luglio. Ciò consentirebbe alla direttiva di entrare in vigore ad agosto. Dalla sua pubblicazione gli Stati avranno poi 21 mesi di tempo per recepirla e 6 mesi per identificare gli operatori di servizi essenziali e strategici e i fornitori di servizi digitali previsti dalla direttiva.
“Nel testo concordato – ha spiegato all’agenzia di stampa Cyber Affairs l’avvocato Maurizio Mensi, docente di Diritto dell’informazione e della comunicazione alla Luiss di Roma – si sottolinea la volontà delle istituzioni europee di promuovere la protezione delle infrastrutture cruciali con una serie di obblighi previsti a carico degli operatori di infrastrutture critiche, affinché possano mettere in piedi sistemi capaci di resistere agli attacchi. Anche i provider di servizi digitali, ancorché dispongano di piani di sicurezza strutturati, avranno l’onere di comunicare e notificare alle autorità nazionali i cyber attacchi”.
Queste novità, ha evidenziato ancora Mensi, “garantiranno lo scambio regolare di informazioni tra settore privato e pubblico. La notifica degli eventi critici al riguardo è essenziale: le aziende tendono spesso a non divulgare o minimizzare gli incidenti per non intaccare la fiducia dei consumatori verso le imprese detentrici di dati sensibili”. Nonostante la comunità degli esperti sia unanime nel definire la Direttiva un passo in avanti, non manca la prudenza.
Per Gabriele Faggioli – legale, adjunct professor del Mip – Politecnico di Milano e presidente del Clusit (Associazione Italiana per la Sicurezza Informatica) – “la Nis renderà più forte la cyber security europea, ma a condizione che suoi contenuti riescano a coordinarsi con tutti gli altri provvedimenti che si occupando della materia”. Il riferimento è al “Regolamento generale sulla protezione dei dati il 679 del 2016, e alla Direttiva sul trattamento di dati da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, la 680 del 2016, che si occupano anche di questioni di sicurezza informatica”.
Anche il settore privato, fortemente coinvolto dalla Direttiva, guarda con grande attenzione ai cambiamenti in atto. Una delle misure “più positive” del testo, ha detto a Cyber Affairs Alessandro Menna, della Divisione security & information systems di Leonardo-Finmeccanica, è proprio “l’imposizione”, per i fornitori dei citati servizi essenziali, “di comunicare alle autorità e gli enti preposti, come il Cert nazionale, informazioni riguardanti le minacce o gli incidenti cibernetici subiti”. Secondo Menna, quest’obbligo “consentirà di avere un quadro chiaro e completo delle tipologie di attacchi” e “di condividere queste informazioni con gli altri Paesi dell’Ue”. Inoltre, “in questo modo si potrà anche offrire risposte più veloci in seguito a un attacco”.
Si tratta di un cambio di passo importante nel rapporto tra settore pubblico e privato. Con la Direttiva Nis, rimarca Luigi Martino, teaching and research assistant in ICT Policies e Cyber Security all’Università di Firenze “per la prima volta l’Unione europea ridisegna la governance della cyber security per la protezione delle infrastrutture critiche, riconoscendo un ruolo fondamentale del settore privato in questo frangente”. I privati, commenta l’esperto, “gestiscono o sono proprietari della quasi totalità di infrastrutture critiche, che erogano servizi essenziali, come l’erogazione di energia elettrica”. La Direttiva Nis “obbligherà i gestori o i detentori di questi servizi a comunicare dati su eventuali disfunzioni dovute ad attacchi informatici o malfunzionamenti”. Ciò, rimarca Martino, “rafforza sia il ruolo degli attori privati, ma anche quello dei Cert, in particolare quelli nazionali, perché è lì che andranno a confluire le segnalazioni sugli attacchi”.
Questi nuovi obblighi, aggiunge, possono essere “un’opportunità per rafforzare la cyber security delle nostre infrastrutture critiche e potranno funzionare, a patto che gli Stati siano in grado di garantire ai privati un adeguato livello di riservatezza. Il nodo – sottolinea ancora Martino – è quello reputazionale: sono molte le aziende, soprattutto quelle quotate in borsa, a chiedersi cosa potrebbe accadere se le informazioni che condivideranno su eventuali attacchi subiti diventino di dominio pubblico. È questa – conclude – la sfida più grande che la Direttiva Nis lancia ai settori pubblico e privato”.
Cosa dovrà fare invece la Penisola per adeguarsi alla Nis? “Gran parte di quanto contenuto nella Direttiva”, ha spiegato il generale Luigi Ramponi, già direttore del Sismi, oggi presidente del Centro studi difesa e sicurezza, “non costituisce una grossa novità per l’Italia, almeno in termini normativi”. La strategia e il piano emanati dalla presidenza del Consiglio, secondo quanto previsto dal Dpcm Monti del gennaio 2013, ha commentato Ramponi, “già prevedono molte delle misure indicate dalla direttiva. Tuttavia, per il presidente del Cestudis è “indispensabile” “l’assegnazione di risorse adeguate, in modo da costituire un efficiente Cert nazionale, dotato di almeno cento operatori e tale da poter effettivamente rappresentare un capace centro di gestione delle previste obbligatorie segnalazioni”. Per questo, ha concluso Ramponi, “nei presumibili due anni che ci dividono dalla adozione delle norme deve essere messo a punto in ambito nazionale, un dispositivo strutturale efficiente ed affidabile, così da garantire, oltre che la indispensabile miglior possibile sicurezza nazionale contro le offese cibernetiche, anche la sempre auspicata e, non sempre ottenuta, ottima presenza e partecipazione, in ambito europeo”.