L’Unione Europea ha approvato una Direttiva comunitaria per la sicurezza delle reti e dell’informazione, nota anche come Direttiva NIS (Network and Information Security), che stabilisce i requisiti minimi per la sicurezza informatica per gli operatori di infrastrutture critiche.
La Direttiva ha un impatto significativo su tutte le imprese che forniscono servizi essenziali e gestiscono le infrastrutture critiche in diversi settori, tra cui l’energia, trasporti, banche, sanità e servizi digitali.
A queste organizzazioni è rischiesta l’implementazione di standard minimi di sicurezza informatica.
La direttiva NIS è la risposta dell’Unione Europea al crescente numero di attacchi informatici contro i servizi erogati dalle infrastrutture critiche di ciascun Paese. La direttiva, approvata a seguito della votazione tenutasi lo scorso 6 luglio, è molto importante in quanto si tratta del primo insieme di regole specifico per la sicurezza informatica delle infrastrutture critiche degli stati dell’Unione.
“Il 6 luglio i deputati hanno approvato la Direttiva per la sicurezza delle reti e dell’informazione, che definisce un approccio comune dell’UE in materia di sicurezza informatica. Essa elenca i settori critici come l’energia, i trasporti e il settore bancario in cui le imprese dovranno assicurare di essere in grado di resistere ad un attacco informatico. Esse saranno obbligate a segnalare gravi incidenti di sicurezza alle Autorità nazionali, mentre i fornitori di servizi digitali come Amazon e Google dovranno inoltre notificare loro eventuali attacchi importanti. Inoltre, la direttiva mira a rafforzare la cooperazione in materia di sicurezza informatica tra i Paesi dell’UE.” si legge nel comunicato stampa emesso dal Parlamento Europeo.
La direttiva sulla sicurezza delle reti e dell’informazione UE (NIS) stabilisce norme comuni di sicurezza informatica e mira a intensificare la cooperazione tra i Paesi dell’UE e fornitori di servizi digitali.
“Incidenti di sicurezza informatica hanno molto spesso un elemento transnazionale e quindi riguardano più di uno Stato membro dell’Unione Europea. L’implementazione di una protezione frammentaria ci rende tutti vulnerabili e rappresenta un grande rischio per la sicurezza dell’Europa nel suo complesso”, ha detto il relatore del Parlamento Andreas Schwab , eurodeputato per la Germania. “Questa direttiva stabilirà un livello comune di sicurezza delle reti e dell’informazione e rafforzerà la cooperazione tra gli Stati membri dell’UE, aiutando a prevenire gli attacchi informatici su importanti infrastrutture interconnesse in Europa in futuro.”
“[la direttiva NIS] è anche uno dei primi quadri legislativi che si applica alle piattaforme informatiche. In linea con la strategia di mercato unico digitale, stabilisce requisiti armonizzati per le piattaforme e assicura che si possano adottare regole simili ovunque ci si trovi in Europa. Si tratta di un grande successo e un grande passo per stabilire un quadro normativo completo per le piattaforme nella UE “.
Gli Stati membri avranno 21 mesi di tempo per adeguarsi alla direttiva NIS e 6 mesi supplementari per identificare gli operatori dietro le infrastrutture critiche nazionali.
La Direttiva stabilisce che ogni Stato è responsabile dell’individuazione delle organizzazioni che devono essere conformi alla Direttiva stessa.
La condivisione delle informazioni tra gli Stati è un pilastro della direttiva NIS: le organizzazioni con la nuova legge hanno, infatti, il un nuovo obbligo di segnalare gravi incidenti informatici ai CSIRT (Computer Security Incident Response Team) nazionali.
Un ruolo fondamentale sarà coperto dall’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), che opererà per facilitare la collaborazione tra gli Stati e la condivisione delle informazioni.
Ritengo la direttiva NIS un atto dovuto dell’Unione Europea per la sicurezza informatica e fisica delle infrastrutture degli Stati membri. Ci troviamo in un momento storico in cui il numero di attacchi è in continua ascesa, così come il livello di complessità associato. E’ cruciale quindi condividere le informazioni relative agli attacchi informatici per riuscire a coordinare una risposta agli attori malevoli che minacciano le infrastrutture critiche europee. La resilienza delle strutture critiche alle innumerevoli offensive può essere garantita solo attraverso l’implementazione di requisiti minimi di sicurezza condivisi a livello comunitario.
La direttiva sarà pubblicata nella Gazzetta ufficiale dell’Unione europea.
Facebook Comments