È stata approvata giovedì, dal Parlamento europeo con larga maggioranza, la direttiva NIS2 (Network and Information System Security). Si tratta di un necessario lavoro di aggiornamento di uno strumento già esistente (la direttiva NIS di prima generazione) che ha prodotto, anche in Italia, interventi normativi e, prima ancora, riflessioni strutturate sulla gestione della sicurezza in contesti digitali.

La nuova direttiva, stimolata anche dai cambiamenti prodotti dalla pandemia, viene considerata, stando alle parole del relatore Bart Groothuis, “La migliore legislazione sulla sicurezza informatica che il Continente abbia mai visto, perché offre all’Europa una gestione proattiva degli incidenti informatici e orientata al servizio“.

L’accrescersi delle problematiche relative alla cybersecurity, l’aumento degli attacchi ai sistemi informativi e delle minacce alla tutela dei dati, rendono necessarie reazioni coordinate e razionali tra gli stati membri per garantirne i cittadini.

Si tratta, come sempre nel caso delle direttive europee, di un impianto che ciascuno Stato dell’UE dovrà tradurre e recepire, tenendo presente l’obiettivo, ovvero creare una uniformità e una condivisione degli strumenti e delle procedure che consentano un lavoro organico e collaborativo all’interno dell’Unione.

I destinatari

Al momento, i principali destinatari sono i cosiddetti “settori essenziali” e “settori importanti”. Tra i primi rientrano senza dubbio: energia (dall’elettricità al gas, dal petrolio all’idrogeno), trasporti, banche e finanza, sanità, settore idrico, infrastrutture digitali (cloud, data center, gestione reti, ecc.), gestione servizi ICT, pubblica amministrazione e spazio. Tutti dovranno adeguarsi alle nuove disposizioni in materia di sicurezza.

Tra i settori considerati importanti sono citati i servizi postali, la gestione dei rifiuti, il settore alimentare, quello dei prodotti chimici e sanitari, la produzione di dispositivi medici, l’elettronica, la fabbricazione di macchinari e quella di veicoli a motore e, non ultimi, i fornitori di servizi digitali quali motori di ricerca o piattaforme di servizi di social network.

La difesa, stando allo spirito della normativa, non è meno importante dello stimolo che tale direttiva vuole offrire agli attori coinvolti affinché possano operare, con successo, la propria trasformazione digitale, cogliendone tutti i vantaggi economici e sociali e garantendo ai fruitori dei servizi pari giovamento da essi.

Responsabilità condivisa all’interno della supply chain, proattività, capacità di reagire in modo efficace e rapido, monitoraggio costante e condivisione delle informazioni su vulnerabilità e incidenti, sono i cardini che ispirano l’intervento europeo.

I capisaldi

In base alla Strategia nazionale per la cyber sicurezza, richiesta a ciascuno Stato membro – che comprenda obiettivi e priorità, nonché le risorse necessarie e una valutazione dei rischi – la direttiva punta l’attenzione su alcuni aspetti:

• l’individuazione di misure volte a garantire la preparazione e la risposta agli incidenti e il successivo recupero dagli stessi, inclusa la collaborazione tra i settori pubblico e privato;
• un elenco delle diverse autorità e dei diversi portatori di interessi coinvolti nell’attuazione della strategia nazionale per la cyber sicurezza;
• un quadro strategico per il rafforzamento del coordinamento tra le autorità competenti ai fini della condivisione delle informazioni sui rischi, le minacce e gli incidenti sia informatici che non informatici e dello svolgimento di compiti di vigilanza, se del caso;
• un piano, comprendente le misure necessarie, per aumentare livello generale di consapevolezza dei cittadini in materia di cyber sicurezza.

Per le aziende e gli enti coinvolti, non solo medi e grandi, significa quindi introdurre la cyber sicurezza, a livello sistemico, nell’intera filiera dei prodotti o servizi proposti. Al di là degli obblighi normativi attuali o futuri, si tratta di un approccio corretto, utile e che non può prescindere da un aumento responsabile di consapevolezza e cultura rispetto al tema della cyber sicurezza.  

La linea tracciata, che resta coerente rispetto agli interventi normativi europei degli ultimi anni, è quella di generare un ecosistema virtuoso che operi in continuità e coordinamento e che sia in grado di affrontare cambiamenti e innovazioni, non solo tecnologici ma anche inerenti modelli di business che potranno essere introdotti in futuro.