“Gli incidenti in ambito di sicurezza informatica presentano molto spesso una caratteristica transfrontaliera e, quindi, riguardano più di uno Stato membro dell’Unione Europea. Una protezione informatica frammentata rende tutti noi vulnerabili e rappresenta un grande rischio per la sicurezza dell’Europa intera. Questa direttiva stabilirà un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione e rafforzerà la cooperazione tra gli Stati membri, aiutando a prevenire futuri attacchi informatici a importanti infrastrutture interconnesse in Europa”. Lo ha detto Andreas Schwab eurodeputato tedesco del Ppe, relatore della direttiva sulla sicurezza delle reti e dei sistemi informativi nell’UE.
Alle compagnie fornitrici di servizi essenziali in settori quali l’energia, i trasporti, la sanità e il settore bancario, o i fornitori di servizi digitali come i motori di ricerca e i servizi di cloud computing, è richiesto di migliorare le loro difese contro gli attacchi informatici.
La definizione di standard comuni di sicurezza informatica e il rafforzamento della cooperazione tra i paesi dell’Ue – questa la tesi che ha ispirato le nuove norme – aiuterà le imprese a proteggere sé stesse e a prevenire gli attacchi alle infrastrutture dei paesi dell’Unione Europea.
L’adozione della direttiva ha raccolto il plauso, tra gli altri, di Andrus Ansip, vicepresidente della Commissione europea e commissario al digital single market, e di Günther H. Oettinger, commissario all’economia e alla società digitale.
“Il mercato unico digitale può nascere soltanto in un ambiente online sicuro. Questa direttiva – ha detto Ansip – è la prima normativa generale sulla cybersecurity e un punto di partenza fondamentale per il nostro lavoro in questo campo. Le regole adottate oggi, insieme alla nuova partnership con le industrie presentata ieri dalla Commissione, crea le condizioni migliori percghé le persone e le aziende possano utilizzare in sicurezza gli strumenti, le reti e i servizi digitali all’interno dell’Unione”
“Sono giorni importanti per la sicurezza informatica in Europa – aggiunge Oettinger – l’adozione di queste norme darà sostegno e faciliterà la cooperazione strategica tra gli Sati membri e lo scambio di informazioni”.
Il sistema di norme messe a punto con la direttiva approvata oggi in via definitiva dal Parlamento europeo è “uno dei primi quadri legislativi che si applica alle piattaforme – prosegue Schwab – In linea con la strategia del mercato unico digitale, stabilisce i requisiti per le piattaforme online e assicura che possano rispettare tali norme ovunque esse operino nell’UE”.
Nello specifico, la nuova normativa stabilisce obblighi in materia di sicurezza e di notifica per gli “operatori di servizi essenziali”. Gli Stati membri dovranno identificare i soggetti che operano in questi settori seguendo criteri specifici, tra cui la fornitura di servizi essenziali per il mantenimento di attività sociali ed economiche cruciali.
Alcuni fornitori di servizi digitali, inoltre, come i mercati online, i motori di ricerca e i servizi di cloud computing, dovranno, oltre ad adottare misure per garantire la sicurezza delle loro infrastrutture, notificare gli incidenti più rilevanti alle autorità nazionali competenti. Le micro e le piccole imprese digitali sono esentate da tali requisiti.
Le nuove norme prevedono inoltre un “gruppo di cooperazione” per scambiare informazioni fra le autorità nazionali e fornire loro assistenza. Ogni Stato dell’Ue dovrà adottare una strategia nazionale sulla sicurezza della rete e dei sistemi informativi.
Gli Stati membri dovranno inoltre designare gruppi d’intervento per la sicurezza informatica in caso d’incidenti (Csirt), che si occupino di trattare incidenti e rischi, discutere sulle problematiche di sicurezza transfrontaliera e identificare risposte coordinate.
La direttiva attende adesso di essere pubblicata sulla Gazzetta ufficiale dell’UE ed entrerà in vigore il ventesimo giorno successivo alla sua pubblicazione. Gli Stati membri avranno poi 21 mesi di tempo per recepire la direttiva negli ordinamenti nazionali e sei mesi supplementari per identificare gli operatori dei servizi essenziali.
