Sta prendendo forma l’aggiornamento della direttiva europea Nis del 2016 sulla sicurezza delle reti e dei sistemi informativi. Si tratta di uno dei quattro elementi individuati dalla Commissione europea per rafforzare le difese cibernetiche nella strategia annunciata un anno fa.

Gli attacchi cibernetici crescono in dimensioni, costi e sofisticazione. La recente relazione Threat landscape 2021 dell’Agenzia dell’Unione europea per la sicurezza informatica (Enisa) sottolinea che hanno continuato ad aumentare nel 2020 e nel 2021. Non soltanto in termini di vettori e numeri, ma anche in termini di impatto, sotto la spinta della pandemia Covid-19. Eppure aziende e istituzioni europee spendono il 41% in meno per la sicurezza informatica rispetto agli Stati Uniti.

Nei giorni scorsi la Commissione per l’industria, la ricerca e l’energia del Parlamento europeo ha dato il via libera ad ampia maggioranza (70 voti favorevoli, tre contrari e un’astensione) alla bozza della nuova direttiva, già ribattezzata Nis 2, e all’apertura di negoziati con il Consiglio europeo (71 voti favorevoli, due contrari e un’astensione).

La proposta prevede requisiti più stringenti per imprese, amministrazioni e Stati in termini di gestione del rischio, obblighi di segnalazione e condivisione delle informazioni, facendo chiarezza sugli equilibri tra la direttiva e le norme europee in materia di privacy (Gdpr e ePrivacy) che attualmente rappresentano un freno alla condivisione delle informazioni tra i Paesi. Inoltre, cerca di superare le diversità nelle misure nazionali per la sicurezza cibernetica che rendono l’Unione europea più vulnerabile fissando obiettivi per gli Stati membri e spingendoli ad armonizzare i loro regimi sanzionatori. Per questo, sono previste multe fino a 10 milioni di euro o il 2% del fatturato totale annuo mondiale dell’azienda proprietaria del servizio coperto dalla direttiva Nis 2 in caso di violazione delle norme in materia di gestione del rischio o degli obblighi di segnalazione).

Oltre a requisiti più stringenti, la nuova regolamentazione amplia i settori protetti. Oltre a quelli “essenziali” come energia, trasporti, banche, salute, infrastrutture digitali, pubblica amministrazione e spazio, sono previsti anche quelli “importanti” come servizi postali, gestione dei rifiuti, prodotti chimici, alimenti, produzione di dispositivi medici, elettronica, macchinari, autoveicoli e digital provider. Tutte le medie e grandi aziende di questi settori sarebbero coperte dalla direttiva.

Che “sì”, essere un passo avanti verso una maggiore autonomia strategica dell’Unione europea, dice a Formiche.net il relatore della proposta, Bart Groothuis, europarlamentare olandese membro del gruppo macroniano Renew Europe, già direttore del bureau per la sicurezza cibernetica del ministero della Difesa dei Paesi Bassi. “Senza Nis 2 e considerando che l’Europa è troppo invitante per gli attacchi ransomware (soprattutto perché anche gli Stati Uniti si stanno muovendo velocemente con una nuova regolamentazione), saremmo colpiti ancora di più”, aggiunge. “Inoltre, la Nis 2 crea un database della vulnerabilità all’Elisa in Grecia. E la certificazione europea di sicurezza informatica creerà degli standard europei”.

Nell’aggiornamento della direttiva Nis ci sarà spazio anche per la difesa dei cavi sottomarini e delle dorsali di reti. Lo aveva annunciato nei mesi scorsi Filipe Batista, digital attaché della rappresentanza permanente presso l’Unione europea del Portogallo, Paese che nel primo semestre di quest’anno ha avuto presidenza di turno del Consiglio dell’Unione europea. Un report pubblicato a maggio dallo European Council on Foreign Relations, dal titolo “Network effects: Europe’s digital sovereignty in the Mediterranean”, invitava l’Unione europea a fissare standard industriali, sostenere le attività all’estero delle società europee di telecomunicazione e proteggere le infrastrutture Internet da potenze ostili (qui l’articolo di Formiche.net).

Nel testo approvato dalla Commissione è previsto che gli Stati membri dell’Unione europea assicurino “l’integrità e la disponibilità di queste reti pubbliche di comunicazione elettronica” e considerino “la loro protezione dal sabotaggio e dallo spionaggio di vitale interesse per la sicurezza. Le informazioni sugli incidenti, per esempio sui cavi di comunicazione sottomarini, dovrebbero essere condivise attivamente tra gli Stati membri”, si legge ancora.

“Molti ministri della Difesa nella Nato e nell’Unione europea ed esperti hanno messo in guardia su sospette operazioni russe contro i cavi sottomarini in fibra ottica”, spiega Groothuis a Formiche.net. “Il timore è che possano mettersi in condizione di sabotarli. E proprio la Russia ha già fatto due test per disconnettersi da internet”, aggiunge con riferimento ai tentativi da parte del governo di Mosca di mettere alla prova la tecnologia per un “internet sovrano”.

(Foto: Official U.S. Navy Page, Flickr)