Bruxelles – Dopo la strategia sulla sicurezza per contrastare il fenomeno terroristico, una strategia sulla cybersicurezza per tutelare i cittadini e le imprese europee dalle minacce del web e per garantire loro sicurezza e affidabilità quando operano online. Il nuovo pacchetto sulla cybersicurezza, presentato mercoledì mattina 16 dicembre dalla Commissione europea, interviene per fornire una rete di protezione adeguata al passo con i tempi della trasformazione digitale e con gli episodi della recente cronaca.
“Nello scorso settembre, a Düsseldorf una donna è morta in seguito all’attacco ransomware che ha provocato il collasso dell’infrastruttura dei sistemi informatici dell’ospedale universitario della città. È considerata la prima vittima di un attacco hacker in Europa”, ha affermato il commissario deputato al progetto di creazione dell’Unione Europea di Sicurezza Margaritis Schinas introducendo la strategia durante la conferenza stampa. “Pochi giorni fa un altro attacco hacker ha interessato l’EMA, l’Agenzia Europea del Farmaco. Questo ci dice che l’Europa è un bersaglio principale”.
Un aggiornamento della direttiva NIS
La novità principale del pacchetto di misure presentato da Bruxelles riguarda un aggiornamento della direttiva NIS (acronimo di Network and Information Systems) per la sicurezza della rete e dei sistemi informatici, entrata in vigore nel 2016. È uno dei pilastri della strategia presentata e andrà nella direzione di allargare il novero dei soggetti interessati dalla direttiva, individuati non solo in base alla dimensione (criterio che coinvolge tutte le imprese di medie e grandi dimensioni di settori ritenuti essenziali per la sicurezza come i trasporti, l’energia, il settore bancario e la farmaceutica), ma anche in virtù del profilo di rischio di sicurezza elevato determinato dalle autorità degli stati membri. Gli stati saranno obbligati a intensificare lo scambio di informazioni con il Gruppo di cooperazione composto dai rappresentanti nazionali e dai membri dell’ENISA (l’Agenzia europea per la cybersicurezza), che sovrintende la valutazione dei rischi per la sicurezza della rete a livello di Unione Europea. La proposta della Commissione introduce inoltre misure di vigilanza più rigorose per le autorità nazionali e prescrizioni più rigide, oltre ad armonizzare i regimi sanzionatori in tutti gli stati membri per i soggetti che non si adeguano alla direttiva.
La proposta di direttiva sulla resilienza dei soggetti critici
La Commissione vuole blindare nella corazza delle norme sulla cybersicurezza anche le infrastrutture degli operatori che forniscono servizi essenziali per i cittadini, espandendo l’ambito di applicazione delle vigenti norme dell’UE in materia di infrastrutture critiche. Il risultato di tale provvedimento sarà quello di impegnare i Paesi membri a introdurre obblighi per la cybersicurezza anche per settori come l’amministrazione pubblica, il settore spaziale e soprattutto per gli enti del sistema sanitario, fortemente minacciati dalla rete negli ultimi mesi. Tra le novità emergenti ci sono obblighi in capo agli stati membri di redigere una strategia nazionale per i soggetti critici e di effettuare delle valutazioni periodiche dei rischi (obbligo che riguarda anche i soggetti critici stessi). Incombe sui governi nazionali, inoltre, l’obbligo di verificare che le autorità nazionali dispongano dei mezzi necessari per effettuare ispezioni nei confronti dei soggetti critici e per imporre sanzioni in caso di inosservanza delle regole.
Il “cyberscudo”
L’iniziativa della Commissione punta alla creazione di un cyber shield, un “cyberscudo” europeo che attraverso l’utilizzo dell’intelligenza artificiale e dell’apprendimento automatico coinvolgerà i centri operativi di sicurezza istituiti da società private, organizzazioni pubbliche e autorità nazionali, incentivandone la proliferazione in tutta l’UE. Una rete di sicurezza così strutturata potrebbe rilevare precocemente ed efficacemente segnali di attacchi informatici imminenti consentendo di intervenire il prima possibile.
La necessità di un’unità congiunta per il cyberspazio
Ad averla richiesta è stata soprattutto la presidente della Commissione Ursula von der Leyen al fine di creare una vera e propria rete di sicurezza comune. L’unità è necessaria per rafforzare la cooperazione tra gli organismi dell’UE e le autorità degli Stati membri deputati a prevenire e a rispondere agli attacchi informatici, azione nella quale sono chiamati in causa anche le forze dell’ordine, la diplomazia e la difesa informatica.
Sul 5G
La Commissione ha apprezzato i progressi che gli stati membri hanno mostrato rispetto alla raccomandazione di marzo 2019 sulla cibersicurezza delle reti 5G, che ha somministrato agli stati un pacchetto di strumenti (il toolbox 5G), che è alla base dell’approccio globale per mitigare i rischi per la sicurezza delle reti mobili di nuova generazione. Stando a quanto verificato, tutti gli stati membri dovrebbero completare il processo di attuazione degli standard richiesti entro il primo semestre del 2021.
Le proposte della Commissione saranno messe al vaglio del Consiglio e del Parlamento europeo. Una volta approvate le due direttive dovranno essere recepite dagli stati membri.
