Updated – La Direttiva NIS: le regole di sicurezza informatica a livello UE
Il 17 maggio scorso, il Consiglio europeo ha adottato formalmente nuove regole per rafforzare la sicurezza dei sistemi e delle reti in tutta l’UE. L’esigenza di proteggere dati e infrastrutture è sempre più una priorità per governi e imprese. In ottica di cooperazione l’UE propone una Direttiva comunitaria dedicata, appunto, alla sicurezza delle reti e dell’informazione (Direttiva NIS – Network and Information Security).
Originariamente la Direttiva è stata proposta dalla Commissione europea nel 2013 come parte della “European Commission’s cyber security strategy and proposed network and information security directive” volta ad affrontare gli incidenti di sicurezza informatica e i rischi relativi alle reti, in tutta l’UE.
La Direttiva NIS, che ha anche il compito di aumentare la cooperazione tra gli Stati membri su un’esigenza sentita trasversalmente, è basata su cinque elemente principali:
- La nuova strategia nazionale
Secondo la Direttiva, gli Stati membri dell’Unione Europea devono adottare una strategia nazionale che possa definire concrete misure di regolamentazione per mantenere un livello di sicurezza delle reti e dell’informazione all’interno dello Stato. In particolare, esso dovrebbe individuare al proprio interno un’autorità nazionale competente per la sicurezza delle informazioni e creare una squadra di “pronto intervento”, indicata come Computer Emergency Response Team (CERT), sulla base del CERT-UE, responsabile per la gestione degli incidenti e dei rischi.
- La rete di cooperazione
Lo scopo derivante dal primo punto è la realizzazione di un network europeo che si occupi della sicurezza delle reti critiche. Le autorità competenti degli Stati membri dell’UE e la Commissione europea, in base alla Direttiva NIS, si uniranno a formare una rete di cooperazione ccordinata contro rischi e incidenti che interessino i sistemi da tutelare. I compiti principali della rete saranno:
- lo scambio di informazioni tra le autorità,
- l’evasione di avvertimenti in materia di sicurezza delle informazioni,
- il concordare risposte coordinate in base a un piano di cooperazione.
- I requisiti di sicurezza e l’obbligo di informare l’autorità in caso di incidenti
Secondo quanto riporta la Direttiva NIS enti pubblici e operatori del mercato dovranno adottare appropriate misure tecniche e organizzative per gestire i rischi di sicurezza. Per operatori del mercato si intendono i fornitori di servizi informativi – gateway di pagamento internet, social network, motori di ricerca, fornitori di cloud computing e app store – nonché i gestori delle infrastrutture “critiche” – come i fornitori di energia elettrica e di gas, gli operatori di petrolio e gas naturale, i vettori aerei, i vettori marittimi, le ferrovie, gli aeroporti ed i porti, gli operatori di gestione del traffico, le banche, le infrastrutture dei mercati finanziari e gli operatori sanitari.
Essi devono garantire un livello di sicurezza adeguato ai rischi che la loro attività comporta e devono prevenire e minimizzare l’impatto degli eventuali incidenti che interessano i servizi che forniscono. Dovrebbero, inoltre, essere in grado di (e quindi obbligati a) informare l’autorità competente nel caso di incidenti che producano un impatto significativo sulla continuità dei servizi che offrono.
L’autorità competente, una volta ricevuta tale comunicazione, deve poter decidere autonomamente se informare o meno il pubblico sull’accaduto. La decisione dovrà tenere in considerazione le seguenti informazioni:
- il numero di utenti interessati;
- la durata dell’incidente;
- la diffusione geografica della zona interessata.
Quando si verifichi anche violazione dei dati personali, gli operatori sono obbligati a notificarla alle Autorità Garanti della protezione dei dati e agli interessati, ai sensi del nuovo Regolamento europeo in materia di data protection (GDPR), nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE.
- L’utilizzo di standard redatti ad hoc
Con la Direttiva NIS, gli Stati membri sono incoraggiati ad utilizzare gli standard che verranno redatti dalla Commissione europea incaricata.
- Potenziamento delle autorità competenti
Le autorità competenti di ciascuno Stato membro devono avere idonei poteri per indagare sui casi di mancata conformità alla Direttiva NIS da parte di enti pubblici e operatori di mercato. Devono inoltre essere in grado di collaborare con le autorità competenti in materia di protezione dei dati personali qualora gli incidenti coinvolgano dati personali.
Considerato quanto brevemente indicato sopra, e tenendo conto del recente Regolamento UE, la Direttiva NIS, una volta adottata, avrà un impatto importante su molti enti pubblici e imprese. Per la prima volta in Europa, anche il tema della sicurezza viene affrontato in modo organico dal punto di vista normativo.
Da una parte, infatti, già il Regolamento UE impone regole chiare sull’adozione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell’esecuzione del trattamento stesso, che comprendono tra l’altro (art. 32 del nuovo Regolamento (UE) 2016/679):
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Dall’altra parte, a completamento di quanto indicato sopra, la Direttiva NIS imporrà ulteriori e specifici criteri per la tutela a monte delle informazioni e la loro sicurezza.
E’ doveroso precisare che la Direttiva NIS non verrà ad applicarsi solo a enti pubblici ed operatori di mercato, ma varrà anche per le singole aziende “ordinarie”. Queste ultime saranno obbligate ad applicare idonee procedure volte a poter dimostrare un uso efficace di politiche e misure di sicurezza adottate. La mancata applicazione potrà provocare non solo la perdita di fiducia da parte dei clienti e ingenti danni alla reputazione, ma anche violare i requisiti di sicurezza e di protezione delle informazioni.
La posizione del Consiglio in prima lettura adottata il 17 maggio scorso ha confermato l’accordo raggiunto con il Parlamento europeo nel dicembre 2015. Per concludere la procedura, l’atto giuridico della Direttiva NIS deve ancora essere approvato dal Parlamento europeo in seconda lettura. La Direttiva dovrebbe entrare in vigore in agosto 2016, si rimane in attesa.
AGGIORNAMENTO – 6 luglio 2016
Il Parlamento Europeo ha annunciato oggi di aver ufficialmente adottato la “Directive on Security of Network and Information Systems”, Direttiva NIS.
Confermata dunque l’entrata in vigore dal mese di agosto 2016, entro maggio 2018 dovrà essere recepita dalle normative nazionali da parte degli Stati membri che, entro novembre 2018, dovranno identificare gli operatori dei servizi essenziali. L’inter si concluderà (maggio 2021) con un riesame del corretto funzionamento – in linea con l’obiettivo di consentire una proficua collaborazione tra gli Stati – della Direttiva “with a particular focus on strategic and operational cooperation, as well as the scope in relation to operators of essential services and digital service providers“.