La direttiva europea Nis (Network and information security) contribuisce concretamente a incrementare il livello di cyber-security nell’Ue, attraverso il potenziamento delle capacità nazionali di far fronte alle minacce legate alle Reti e sistemi informatici, lo sviluppo della cooperazione a livello europeo e l’introduzione di obblighi diretti agli attori di mercato con importanti funzioni sociali ed economiche.
Un ulteriore elemento di forza che spesso passa inosservato, è l’orizzontalità di questa direttiva, la cui applicazione si estenderà dal settore energetico a quello sanitario fino a quello bancario, solo per citarne alcuni dei più rilevanti. Tale trasversalità indica quanto un elevato livello di cyber-security sia una precondizione in vista del corretto funzionamento della nostra società. Attraverso la direttiva, gli Stati membri sono chiamati a definire strategie nazionali in materia di sicurezza della Rete e dei sistemi informativi e istituire organi responsabili per l’attuazione della direttiva da un punto di vista sia normativo sia tecnico.
Per quanto riguarda gli operatori economici più rilevanti, gli obblighi introdotti con la Nis garantiranno l’adozione di appropriate misure di sicurezza e favoriranno un proficuo dialogo con le autorità competenti, attraverso gli obblighi di notifica. Lo scambio di informazioni, anche sensibili, tra gli Stati membri, è comunque un esercizio necessario se si vuole garantire la cyber-resilienza dell’Unione. Questa pratica è però legata all’instaurazione di un clima di fiducia reciproca tra chi possiede tali informazioni.
L’incremento della fiducia tra gli Stati membri è quindi uno degli obiettivi che ci siamo prefissati di raggiungere attraverso l’applicazione della direttiva e, in particolare, tramite la creazione di due gruppi dedicati rispettivamente allo sviluppo della cooperazione strategica (Gruppo di cooperazione) e tecnica (Rete di Computer emergency response team). Sicuramente sarà necessario del tempo per vincere ogni resistenza allo scambio informativo, ma vorrei evidenziare come significativi passi in avanti siano già stati fatti nel corso del primo anno di lavoro di questi due gruppi.
A settembre di quest’anno abbiamo, inoltre, presentato un pacchetto di misure per fronteggiare le principali sfide nel campo della cyber-security: rafforzare la resilienza agli attacchi; stimolare la crescita del mercato; rendere più efficaci le azioni dissuasive verso i cyber-criminali; intensificare la risposta diplomatica dell’Ue nell’arena internazionale. Sul fronte resilienza, la principale misura è il Cybersecurity act, una proposta di Regolamento che include un’ambiziosa riforma del mandato dell’Agenzia europea per la sicurezza delle reti dell’informazione (Enisa) e istituisce un quadro europeo per lo sviluppo della certificazione, che rappresenta un fondamentale strumento per la crescita del mercato ICT.
Un altro cardine attiene al Programma di cooperazione – presentato in una Raccomandazione agli Stati membri – per un’efficace risposta operativa a livello dell’Unione e degli Stati membri in caso di incidenti cyber su larga scala. Infine, abbiamo adottato una Comunicazione che fornisce chiarimenti e linee-guida sulla direttiva Nis, la cui efficace e rapida trasposizione costituisce un’assoluta priorità.
L’agenzia (Enisa) sarà dotata di un mandato permanente, in modo che possa fornire sostegno duraturo agli Stati membri, alle istituzioni dell’Unione e alle imprese per l’attuazione della direttiva Nis, incluso in alcuni settori-chiave (ad esempio energia, trasporti, salute), e del quadro di certificazione incluso nella stessa proposta. Enisa rivestirà anche un ruolo importante nell’intensificazione sia della cooperazione paneuropea a livello operativo, compreso un possibile intervento in supporto degli Stati membri in caso di attacco, sia della gestione delle crisi in tutta l’Unione. Come anticipato, l’Enisa sosterrà inoltre l’elaborazione della politica dell’Ue sulla certificazione della cyber-security per le tecnologie ICT, in particolare contribuendo alla costituzione e al mantenimento del quadro comune europeo in materia.
L’obiettivo è creare un quadro generale che definisca la procedura per la creazione di specifici programmi di certificazione, di natura volontaria, per categorie di prodotti/servizi. Tale quadro sarà in grado di coniugare l’esigenza di certezza sul processo per tutti gli attori coinvolti con la flessibilità necessaria in un mercato a rapida evoluzione come quello dell’ICT. Questo sistema procurerebbe evidenti vantaggi alle imprese, che potranno finalmente espletare un unico processo di certificazione per prodotto/servizio e ottenere un certificato che sia valido in tutta l’Ue, limitando così i costi amministrativi e finanziari.
