Approfondimenti

Direttiva Europea NIS

Verso il Cybersecurity Act

09/08/2018

di Avv. Gianluca Marmorato

Per poter meglio definire l’attuale status dei soggetti fisici è stato coniato il concetto di “on life”, che costituisce il punto di congiunzione tra la vita reale concreta (che può essere tangibile con i comuni sensi) e quella virtuale, rappresentata dalla connessione on line. In virtù della costante crescita dell’utilizzo dell’Internet of Things, si viene ad assottigliare il confine tra status on-line e off-line e conseguentemente aumenta l’intensificazione della, non sempre intenzionale, connessione alla rete globale (on life), che determina la perdurante condivisione di dati, siano essi anagrafici, biometrici, sanitari o professionali dei singoli utenti.

A fronte del costante e crescente progresso tecnologico e la sempre più intensa attività digitale che permea la nostra società, gli organi comunitari hanno preso atto che il progetto di una digitalizzazione più ampia, protetta e consapevole, debba passare attraverso la maggiore propensione all’utilizzo degli strumenti digitali da parte dei cittadini/consumatori/fruitori, garantita da strumenti regolamentari che dovranno essere sempre più sicuri e forniti da operatori consci della essenzialità dei servizi offerti.

Il primo passo in tale direzione è stato fatto con il Regolamento Europeo 679/2016, noto come “GDPR” (General Data Protection Regulations) che, in vigore da circa due mesi, ha avuto il merito di dare vita ad un’unica ed armonica normativa europea in merito alla protezione dei dati personali. La normativa rientra in un ampio “disegno” che ha approntato un complesso ed articolato iter teso a potenziare le attività digitali e porre le basi per una vera e propria “rivoluzione digitale”.

L’esperienza comunitaria è stata seguita altrove, ad esempio dallo Stato della California che in data 28 giugno 2018, dopo alcuni noti scandali mediatici (con risvolti giudiziari in itinere) circa presunte massive violazioni dei dati personali da parte di società vicine a noti Social Network, ha emanato il Consumer Privacy Act, che si ispira dichiaratamente al GDPR e che entrerà in vigore a partire dal 2020.

Il quadro normativo comunitario  si è ulteriormente integrato grazie alla complessa Direttiva 1148/2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, meglio nota come NIS (Network and Information Security Directive), utile a disciplinare i rischi connessi con i sempre più frequenti incidenti correlati alla sicurezza, che potrebbero causare l’impedimento “dell’esercizio delle attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all’economia dell’Unione[1].

Gli Organi Europei hanno a tal fine definito un iter (a dire il vero non semplice) di misure e standard, ponendo l’accento sulla necessità di un “approccio globale a livello dell’Unione” e partendo dalla considerazione che “le capacità esistenti non bastano a garantire un livello elevato di sicurezza delle reti e dei sistemi informativi”; la complessità del fenomeno tecnico, il sempre costante progresso dei sistemi, l’assenza di obblighi comuni rispetto agli operatori di servizi essenziali e fornitori di servizi digitali hanno fino ad ora determinato l’impossibilità della creazione di “un meccanismo globale ed efficace di cooperazione a livello dell’Unione”.

 Utilizzando lo schema normativo analogo a quello introdotto con il GDPR, la Direttiva richiama il principio di accountability in capo agli Stati Membri, i quali dovranno adeguarsi ai principi introdotti con tale dettato comunitario ed effettuare serie analisi dei rischi connessi ai servizi essenziali e digitali, onde poter pianificare ed adottare le misure adeguate alla protezione dei servizi individuati, il tutto anche attraverso una fattiva cooperazione europea.

Essenzialmente, la Direttiva NIS intende introdurre tre obiettivi fondamentali:

  • la promozione di una attenta gestione dei rischi nei settori determinanti per l’economia e la società, con conseguente segnalazione degli “incidenti” a carico della sicurezza;
  • la determinazione di strumenti di evoluta ed efficace sicurezza informatica (Cyber Security), anche attraverso l’introduzione del CSIRT (Computer Security Incident Response Team);
  • l’implementazione della cooperazione tra gli Stati Membri per il raggiungimento di rapporti sinergici tra i vari Organi.

Nel testo normativo si evidenzia la necessità di proteggere quei servizi che vengono considerati essenziali per il mantenimento di attività sociali ed economiche fondamentali.

La Direttiva non individua direttamente i soggetti destinatari e gli operatori dei servizi essenziali, ma esprime i principi in base ai quali gli Stati dovranno individuare tali organi; essi potranno quindi essere soggetti pubblici o privati che si occupano di quei servizi che vengono identificati come “infrastrutture critiche” (nei diversi settori energia, trasporti, settore bancario, settore sanitario, fornitura di acqua potabile, fornitori di servizi digitali).

La decisione di formalizzare in modo normativo la particolare e sempre crescente attenzione ai predetti settori attiene alla necessità di garantire la continuità dei servizi determinanti e limitare l’impatto di incidenti. Particolare attenzione è riservata al settore digitale in relazione alla gestione dei motori di ricerca, dei Data Center, dei portali di eCommerce, dei servizi Cloud, il tutto attraverso il rafforzamento di strumenti di protezione delle reti, unito alla pianificazione di strumenti di resilienza attiva (business continuity, business recovery, disaster recovery).

La Direttiva pone le basi per una fattiva e collaborativa cooperazione europea tra gli Stati, attraverso l’introduzione di un gruppo di Cooperazione composto da rappresentati degli Stati Membri, dalla Commissione e dall’ENISA (European Union for Network and Information Security Agency), al fine di condividere strumenti, attività ed informazioni riguardanti la sicurezza delle reti e dei sistemi informativi.

La cooperazione e condivisione è stata individuata anche a livello di reti CSIRT, in modo da poter realizzare una rete di gruppi di intervento per la sicurezza in caso di incidenti, e poter intervenire in modo sinergico a fronte di necessità precise (es. adozione di attività comuni a fronte di violazioni che interessino più Stati).

L’attività legislativa Europea proseguirà ulteriormente il perseguimento del “disegno” di realizzazione della efficace rivoluzione digitale con quello che viene denominato il Cybersecurity Act. In tale direzione è stata predisposta dalla Commissione Europea una proposta di Regolamento che mira a raggiungere due fondamentali obiettivi:

  • rafforzare ed implementare il ruolo dell’attuale European Union for Network and Information Security Agency (ENISA), trasformandola nell’Agenzia Europea per la Cybersecurity,
  • sviluppare parametri atti a individuare una certificazione Europea relativamente a strumenti di Cybersecurity e prodotti ICT, attraverso l’introduzione dell’European Cybersecurity Certification Framework.

 

[1] Direttiva UE 2016/1148 - Considerando 3