Bruxelles – L’Ue scongiura eventuali attacchi futuri alla propria rete di infrastrutture critiche: dopo i presunti sabotaggi del gasdotto Nordstream 1 e 2, che tra fine settembre e inizio ottobre scorso avevano esasperato l’impennata dei prezzi dell’energia sul territorio europeo, Bruxelles corre ai ripari e mette in campo nuove regole per rafforzare la cibersicurezza e la resilienza alle minacce online e offline alla propria rete di infrastrutture critiche e digitali.
La Commissione europea ha annunciato oggi (16 gennaio) l’entrata in vigore di due nuove direttive che allungano la coperta contro “attacchi terroristici, minacce interne e sabotaggi”: si tratta della direttiva NIS 2, con la quale l’Ue estende le proprie misure per un elevato livello comune di cybersicurezza a nuovi settori e tipologie di entità critiche, e della direttiva CER, volta a rafforzare la resilienza delle infrastrutture critiche a una serie di minacce, tra cui pericoli naturali, attacchi terroristici, minacce interne o sabotaggi.
“Il sabotaggio del gasdotto Nordstream l’ha reso molto chiaro: le nostre infrastrutture critiche sono sotto minaccia”, ha dichiarato la portavoce dell’esecutivo comunitario, Anitta Hipper. La vicenda delle perdite di gas nel Mar Baltico, ricondotte da sismologi svedesi e danesi a esplosioni causate da quelle che l’Unioni europea stessa definì “azioni deliberate di sabotaggio”, nell’autunno scorso, ha palesato l’urgenza di procedere con un aggiornamento significativo delle norme europee sulla sicurezza delle entità critiche e dei sistemi informativi, come la Commissione aveva suggerito già nel 2020.
La direttiva NIS 2 aggiorna le norme vigenti sulla cibersicurezza, stringendo i requisiti di gestione dei rischi di attacchi informatici che le aziende sono tenute a rispettare e semplificando gli obblighi di segnalazione degli incidenti con disposizioni più precise in materia di segnalazione, contenuto e tempistica. Nella nuova normativa, che “garantirà un’Europa più sicura e più forte ampliando in modo significativo i settori e il tipo di entità critiche che rientrano nel suo campo di applicazione”, saranno inclusi i fornitori di reti e servizi pubblici di comunicazione elettronica, i servizi di data center, gli enti incaricati della gestione delle acque reflue e dei rifiuti, i servizi postali e gli enti della pubblica amministrazione. La CER, che sostituisce la direttiva europea sulle infrastrutture critiche del 2008, coprirà i settori dell’energia e dei trasporti, dell’alimentare e dell’acqua potabile, le banche e gli istituti finanziari, la pubblica amministrazione, le infrastrutture digitali, i centri aerospaziali, da una serie di minacce interne e esterne.
“È importante che tutti gli Stati membri adottino le nuove regole velocemente”, ha sottolineato Anitta Hipper. Gli Stati membri dovranno adottare una strategia nazionale ed effettuare valutazioni periodiche del rischio, per identificare le entità considerate critiche o vitali per la società e l’economia.