Il Consiglio europeo ha recentemente proposto l’approvazione di una nuova direttiva per la cyber-sicurezza nel Vecchio Continente, uno sforzo di regolamentazione che richiederà ancora anni di lavoro da parte delle autorità e che alla fine dovrebbe stabilire paletti importanti per tutti i maggiori protagonisti della moderna società interconnessa della UE.
La direttiva del Consiglio si muove su due linee separate ma convergenti, visto che include norme sia per la prevenzione degli incidenti di sicurezza – siano essi dovuti a malware o malfunzionamenti tecnici interni – che per il modo in cui un’organizzazione deve comportarsi quando l’incidente è già avvenuto.
L’Europa vuole imporre un livello di sicurezza minimo sulla “sua” Internet e alle aziende che vi si affacciano, così come intende obbligare le suddette aziende a rendere noti i problemi di cyber-sicurezza – anche noti come incidenti di Network Information Security o NIS – presso il pubblico e le autorità competenti.
La nuova strategia europea ha individuato cinque diverse aree di intervento prioritarie che includono il raggiungimento della “cyber-resilienza” agli attacchi, la drastica riduzione del crimine telematico, lo sviluppo di politiche e capacità di cyber-difesa imparentate con la corrispondente politica comunitaria (CSDP), lo sviluppo di risorse industriali e tecnologiche per la cyber-sicurezza e l’adozione di una politica telematica internazionale coerente presso gli stati membri.
Viene in particolare proposto un regime di cyber-sicurezza a doppio livello, con il primo livello che impone regole più stringenti e include i “servizi essenziali” comprensivi delle utility energetiche, i trasporti, le organizzazioni che si occupano della salute dei cittadini, gli istituti finanziari; il secondo livello, con regole più rilassate, include invece i “provider di servizi digitali” di dimensioni significative come i provider di cloud computing, i motori di ricerca, gli “app store”, i siti di e-commerce e altro ancora.
Tutti, in ogni caso, dovranno impegnarsi a rispettare i parametri comunitari per la prevenzione degli incidenti NIS e per rispondere adeguatamente a infezioni o ad attacchi telematici, organizzazioni appartenenti al settore pubblico come a quello privato dovranno aumentare gli sforzi per migliorare lo scenario della cyber-sicurezza in tutta Europa. Un’esenzione sarà invece prevista per le imprese di minori dimensioni.
L’adozione delle nuove regole dovrà poi essere accompagnata da un maggiore sforzo per la cooperazione tra i singoli stati membri della UE, con la creazione di un apposito gruppo in cui dovranno confluire i tanti network nazionali che al momento si occupano di rispondere alle minacce come Computer Security Incident Response Team (CSIRT) locali.
In attesa di essere accolta come parte integrante delle norme UE, la proposta del Consiglio dovrà ora essere confermata ufficialmente da ogni singolo stato membro prima di essere formalmente approvata entro il 18 dicembre 2016 – quasi a un anno esatto dalla sua prima formulazione.
Toccherà poi al Consiglio e al Parlamento di Bruxelles approvare formalmente le nuove regole e passare la palla alle nazioni europee, che avranno 21 mesi di tempo per adottare la nuova cyber-sicurezza e altri sei mesi per identificare gli operatori da inserire nella lista dei servizi essenziali. Se le cose vanno come previsto, tutte le misure dovrebbero entrare definitivamente in vigore per la metà dell’anno 2019.