Le aziende tecnologiche e di Internet – da Cisco a Google a Amazon – saranno soggette a una nuova legge europea sulla cybersicurezza che le costringerà ad adottare misure più severe per proteggere i loro dati e sistemi e probabilmente anche a riferire ogni eventuale intrusione da parte di hacker alle autorità nazionali. Lo riporta l’agenzia di stampa Reuters.
Le nuove regole sono contenute nella Network and Information Security Directive, che Reuters ha visionato, e che i vari membri dell’Ue e i politici di Bruxelles discutono da tempo: l’elemento più controverso è proprio l’inclusione nella normativa delle piattaforme digitali come motori di ricerca, social network, siti di e-commerce e fornitori del cloud.
Gli europarlamentari preferirebbero che la legge coprisse solo i settori considerati “critici”, come l’energia, i trasporti e la finanza. Ma dopo mesi di negoziati alla fine anche le piattaforme digitali sono ricadute nella direttiva, pur se con obblighi di sicurezza meno onerosi.
La direttiva suggerisce infatti di adottare un approccio “light” nelle norme sulla cybersecurity rivolte alle piattaforme per i servizi digitali, perché queste solitamente non hanno legami diretti con le infrastrutture fisiche come invece accade, per fare solo un esempio, per le aziende dell’energia. Ma ogni azienda che ricade nella definizione di “digital service platform” – definizione su cui ancora non c’è accordo finale – dovrà automaticamente essere soggetta alla normativa; in questo modo si eviterà che ciascuno Stato membro agisca per proprio conto creando quella frammentazione tra i 28 membri dell’Ue che l’Europa sta cercando di combattere.
Il documento è ancora in discussione e la versione definitiva arriverà dopo l’estate. Manca l’accordo anche sulla notifica alle autorità degli eventuali “incidenti” di sicurezza: potrebbero essere solo volontarie oppure obbligatorie. Gli Stati-membro dovranno esprimere la propria preferenza in un incontro a settembre, dopodiché sarà preparato il testo legale definitivo.
Le proteste delle aziende del mondo digitale si sono però già fatte sentire: i player di Internet non vogliono essere inclusi nei nuovi provvedimenti sulla cybersecurity. “Siamo contenti che le piattaforme che forniscono servizi digitali siano soggette a un regime differente ma siamo delusi dal mancato riconoscimento del fatto che è l’uso del cloud a determinare il rischio per la sicurezza, non il servizio in sè”, ha detto Chris Gow, Senior Manager, Government Affairs di Cisco.
La Commissione europea – e alcuni Stati-membri – ritengono invece che, per via del diffuso utilizzo dei servizi Internet e dell’elevato numero di imprese che basa il proprio business sul web, i player del digitale debbano essere soggetti a precise regole sulla sicurezza e sulla notifica delle intrusioni, come già accade per le aziende telecom.