L’Europa rafforza la sua cyber security: il Consiglio europeo ha formalmente adottato oggi le nuove norme che potenziano la sicurezza delle reti e dei sistemi informativi in tutta l’Unione europea.
La direttiva NIS (Network and information security) impone alcuni obblighi per i gestori di servizi “essenziali” (in settori critici o strategici come energia, trasporti, sanità, finanza) e per i fornitori di servizi digitali (piattaforme di e-commerce, motori di ricerca, provider del cloud). Questi operatori dovranno adottare precise misure per la gestione dei cyber rischi e segnalare gli incidenti di maggiore portata. Le modalità sono diverse a seconda che gli operatori ricadano nella prima o nella seconda categoria: in generale le norme e i controlli saranno più severi per i gestori di infrastrutture critiche che per i fornitori di servizi digitali.
La direttiva mira anche ad accrescere la cooperazione tra stati membro sul tema sempre più cruciale della cyber sicurezza. A tale scopo sono stati creati i Csirt (Computer security incident response teams), il cui primo incontro informale si è svolto all’Aia il 5 aprile, seguito da un secondo incontro a Riga il 10 maggio.
Ogni paese Ue dovrà inoltre designare una o più autorità a livello nazionale preposte alla cyber security e definire una strategia per la gestione e la risposta alle cyber minacce.
La presidenza olandese e l‘Enisa, l’agenzia Ue per la sicurezza delle reti e dell’informazione, hanno già avviato l’iter che porterà all’implementazione della direttiva.
La posizione adottata oggi dal Consiglio d’Europa ha confermato l’accordo raggiunto con il Parlamento europeo e la presidenza lussemburghese a dicembre scorso. Per concludere l’iter, la normativa dovrà essere approvata in seconda istanza dal Parlamento europeo; entrerà probabilmente in vigore da agosto di quest’anno.
