NIS, la Direttiva per la sicurezza delle reti europee

NIS, la Direttiva per la sicurezza delle reti europee

Aggiornamento: il 17 maggio 2016 la direttiva è stata approvata anche dal Consiglio d'Europa. Adesso dovrà passare al Parlamento per l'approvazione in seconda lettura, per diventare definitiva.
-----------------------------
Nel dicembre 2015 la direttiva europea Network and Information Security (NIS) ha ricevuto il via libera dal Parlamento, il Consiglio e la Commissione europea, e in gennaio 2016 dalla Commissione Mercato Interno del Parlamento, ed ora attende l'approvazione formale del Consiglio europeo per divenire esecutiva.

Si tratta di uno strumento legislativo proposto nel 2013 dalla Commissione Europea, nell'ambito della strategia di sicurezza informatica (Cyber Security) volta a realizzare un ambiente digitale più sicuro ed affidabile.


Un incidente alle reti può aver un impatto notevole fino a compromettere i servizi od interrompere le operazioni e le attività, se si tratta di un incidente ad una infrastruttura critica le conseguenze possono essere disastrose, fino a minare la fiducia dei cittadini. E la crescente interoperabilità dei servizi aumenta il rischio conseguente ad un incidente, con impatto su tutto il territorio dell'Unione. Con l'aumento esponenziale dei dispositivi connessi alle reti, e la proliferazione delle minacce informatiche (virus, spyware, cybercrime...), si rende necessaria una strategia di sicurezza delle reti che sia uniforme nell'ambito dell'intera Unione Europea, piuttosto che avere delle regole diverse per ogni paese.

The more people rely on the internet the more people rely on it to be secure. A secure internet protects our freedoms and rights and our ability to do business. It's time to take coordinated action - the cost of not acting is much higher than the cost of acting (Neelie Kroes, ex vice presidente per l'Agenda Digitale della Commissione Europea)

La Direttiva impone agli Stati Membri l'adozione di una serie di misure di sicurezza comuni ed adeguate, e impone la notifica degli incidenti ad una Autorità nazionale (da istituire sulla falsa riga dell'ENISA europea) appositamente istituita allo scopo. I singoli Stati dovranno anche promuovere la nascita di Computer Emergency Response Team (CERT) nazionali, sulla base del CERT-UE. Lo scopo è la realizzazione di un network europeo che si occupa della sicurezza delle reti critiche. 

La Direttiva si applica a tutti quei soggetti che operano nell'ambito dei “servizi essenziali”. La definizione di “servizio essenziale” dal 2013 è soggetta a discussioni, ma attualmente comprende sia gli operatori di infrastrutture critiche (energia, mercati finanziari, sanità, acqua, trasporti, banche, infrastrutture digitali -internet exchange points e provider DNS-) che i principali fornitori di servizi della società dell'informazione (e-commerce, social network, cloud computing, motori di ricerca, financial provider, ecc...). Ovviamente si deve trattare di servizi che dipendono dal funzionamento di sistemi informatici e telematici.
A tutti i soggetti che operano in tali settori vengono imposti specifici oneri quali l'implementazione di uno standard minimo di sicurezza e l'obbligo di notifica alle Autorità nazionali (NCA) degli incidenti di una certa rilevanza. Ciò comporterà l'adozione di politiche di sicurezza e di gestione delle violazioni informatiche, nonché l'istituzione di personale appositamente formato per la risposta rapida agli incidenti informatici.

Sono gli Stati membri che dovranno identificare e censire gli operatori dei servizi essenziali, sulla base di criteri specifici: se il servizio è fondamentale per la società; se dipende da sistemi informatici; se un incidente può avere effetti gravi sulle sue attività o sulla sicurezza pubblica.
Il riferimento ai “clouds” può, però, creare problemi nella fase di identificazione delle aziende assoggettabili agli obblighi della Direttiva, in quanto ormai la quasi totalità delle imprese utilizza un cloud o ha un cloud proprio.

I tempi per l'attuazione da parte degli Stati membri sono piuttosto lunghi. I singoli Stati avranno, infatti, 21 mesi per il varo di una normativa quadro, poi ulteriori 6 mesi per il censimento degli operatori di servizi essenziali.