NIS 2: verso un modello più avanzato di cyber security nell’UE
Per rispondere all’evoluzione delle cyber minacce determinata dalla forte digitalizzazione e alla crescita esponenziale del numero di attacchi informatici di questi ultimi anni, la Commissione Europea ha presentato, la NIS 2, una proposta per sostituire la vecchia direttiva NIS e aumentare la sicurezza informatica degli Stati membri.
In particolare, obiettivo dell’aggiornamento è:
- ampliare il campo di applicazione della direttiva vigente;
- rafforzare i requisiti di sicurezza dei Paesi;
- affrontare la sicurezza delle supply chain, cioè delle catene di approvvigionamento;
- semplificare gli obblighi di incident reporting, cioè le segnalazioni degli incidenti informatici;
- introdurre misure di vigilanza più rigorose, tra cui sanzioni armonizzate in tutta l’UE.
All’interno del Parlamento europeo, il fascicolo è stato assegnato alla Commissione per l’industria, la Ricerca e l’Energia. La Commissione ha accettato la sua relazione il 28 ottobre 2021, nonché il mandato per l’ingresso nei negoziati interistituzionali.
Limiti della Direttiva NIS e nuove minacce informatiche
La Direttiva sulla sicurezza delle reti e dei sistemi informativi dell’UE, nota come NIS, entrata in vigore nel 2016, rappresentava il primo tassello verso una legislazione trasversale a tutta l’Unione Europea in materia di sicurezza informatica, con particolare attenzione alla protezione delle infrastrutture cruciali al funzionamento degli Stati membri.
Sebbene abbia contribuito a rafforzare la resilienza informatica dell’Unione, la sua applicazione ha portato alla luce alcuni vizi intrinseci, lasciando ampio margine di manovra agli Stati, con conseguente frammentazione fra i diversi Paesi.
Inoltre, dalla sua adozione, il panorama internazionale è mutato e con esso anche le possibili minacce.
Con la crisi da Covid 19, l’economia è diventata più dipendente che mai dalla rete e dai sistemi informatici. La pandemia ha innescato un’accelerazione imprevista nella trasformazione digitale in tutto il mondo determinando un aumento della criminalità informatica. Secondo il rapporto ENISA Threat Landscape 2021, gli attacchi informatici stanno diventando sempre più sofisticati, mirati e diffusi.
Questa tendenza dovrebbe accrescere ulteriormente, parallelamente con gli sviluppi tecnologici, come la proliferazione di dispositivi legati all’Internet of Things (IoT), le minacce dovute al 5G e per la crescita della complessità delle filiere ICT globali, che rendono ancora più necessario un ulteriore passo avanti per armonizzare il quadro normativo di sicurezza in tutto il mercato unico digitale dell’UE.
Senza contare che l’attuale conflitto militare in Ucraina e la crescente tensione geopolitica rendono sempre più attuale il pericolo di una guerra informatica.
Il numero, la complessità e la portata degli incidenti di sicurezza informatica stanno crescendo, così come il loro impatto economico e sociale: il mercato globale della sicurezza vale attualmente circa 150 miliardi di dollari, una cifra destinata a salire a 208 miliardi di dollari nel 2023 e a 400 miliardi di dollari nel 2026.
Gli obiettivi della NIS 2
In un mondo sempre più connesso, le crescenti sfide nel panorama della sicurezza informatica hanno portato l’UE a riflettere su come rafforzare la protezione dei cittadini e delle aziende contro le minacce informatiche.
La proposta NIS 2 si pone tre obiettivi fondamentali:
- aumentare il livello di resilienza informatica delle aziende che operano nell’Unione Europea in settori cruciali. La proposta estende notevolmente il campo di applicazione della direttiva attuale, aggiungendo nuovi settori, come le telecomunicazioni, le piattaforme di social media e la pubblica amministrazione. Infine, affronta, per la prima volta, la cybersecurity della filiera ICT, come richiesto anche da ETNO, l’associazione che rappresenta i principali operatori di telecomunicazioni in Europa;
- ridurre le discrepanze nel mercato interno nei settori oggetto della direttiva. La proposta include un elenco di sette elementi chiave che tutte le aziende devono affrontare o implementare, inclusa la risposta agli incidenti informatici, la sicurezza nelle supply chains, la crittografia e la divulgazione delle vulnerabilità. Viene, inoltre, stabilito un elenco minimo di sanzioni amministrative per le entità che violano le regole in materia di cyber risk management;
- accrescere la consapevolezza e la capacità collettiva di prepararsi e rispondere a incidenti o crisi su larga scala. Le nuove regole introducono responsabilità chiare, pianificazione adeguata e più cooperazione fra i membri dell’UE. La proposta di direttiva prevede l’istituzione di un EU Cyber Crises Liaison Organisation Network (EU-CyCLONe), una rete di organizzazioni per sostenere il coordinamento nella gestione degli incidenti di sicurezza informatica in tutta l’Unione Europea.
A cura della Redazione
