La Direttiva Nis 2 sulla cybersicurezza è stata finalmente approvata da Parlamento Europeo e Stati membri Ue, mettendo le premessa per una migliore cybersicurezza per settori critici, ambiti nei quali un attacco informatico può avere conseguenze particolarmente gravi. A fine 2020 la Commissione Europea aveva avanzato richiesta di aggiornare la Direttiva Nis (Network and Information Security) in vigore dal 2016 e diventata ormai anacronistica, “a causa del crescente grado di digitalizzazione e interconnessione della nostra società e del numero delle attività cyber malevole, in ascesa su scala globale”, si legge in una nota ufficiale della Commissione Europea.
Da due valutazioni d’impatto sulla conformità della Direttiva Nis allo scenario post pandemico erano emersi alcuni elementi critici: una scarsa sensibilità sul tema della cybersicurezza tra le istituzioni pubbliche di alcuni Paesi europei, la mancanza di strumenti di gestione della crisi e, in generale, uno scarso grado di resilienza delle aziende di fronte al rischio di attacchi informatici.
Dunque la direttiva Nis 2, rispetto alla precedente, copre le medie e grandi organizzazioni di un maggior numero di settori critici per l’economia e la società, tra cui i fornitori di servizi di comunicazione pubblici, o fornitori di servizi digitali, le imprese di gestione dei rifiuti e delle acque, le imprese manifatturiere di prodotti critici, i servizi postali e di spedizione, nonché la Pubblica Amministrazione centrale e regionale. Inoltre la direttiva copre in modo più esteso il settore sanitario, per esempio includendovi i produttori di dispositivi medicali.
Questo allargamento, a detta della Commissione, avrà l’effetto di obbligare un maggior numero di organizzazioni e settori a osservare misure di gestione del rischio, e questo nel medio e lungo termine si tradurrà in un maggior livello di cybersicurezza per l'Europa in generale. La nuova direttiva, inoltre, affronta il problema della supply chain e delle relazioni tra fornitori e clienti, che come sappiamo sono al centro di una particolare categoria di attacchi informatici in forte ascesa. Per quanto riguarda le aziende, poi, aumentano gli obblighi e le responsabilità (anche per i top manager) in merito alla compliance e all’obbligo di reporting.
“Abbiamo lavorato sodo per la trasformazione digitale della nostra società”, ha dichiarato Margrethe Vestager, vicepresidente esecutiva di Europe Fit for the Digital Age. “Nei mesi scorsi abbiamo posizionato una serie di mattoncini, come il Digital Markets Act e il Digital Services Act. Oggi gli Stati membri e il Parlamento Europeo hanno anche stretto un accordo sulla Nis 2. Questo è un altro importante punto di svolta della nostra strategia digitale per l’Europa, questa volta per assicurare che i cittadini e le aziende siano protetti e possano fidarsi di servizi essenziali”.
“Le minacce cyber sono diventate più sfrontate e più complesse”, ha aggiunto il commissario per il Mercato interno, Thierry Breton. “Era tassativo adeguare il nostro framework di sicurezza alle nuove realtà e assicurarci che i nostri cittadini e le nostre infrastrutture siano protetti. Nell’attuale scenario della cybersicurezza, la cooperazione e la condivisione rapida delle informazioni sono di massima importanza. Con l’accordo sulla Nis 2, modernizziamo le regole per mettere in sicurezza più servizi critici per la società è l’economia. Questo è dunque un grande passo in avanti”. Un passo a cui dovrà seguire, come sempre accade per le direttive, il recepimento da parte degli Stati membri. Da parte dell’Europa, invece, il prossimo passo sarà l’approvazione del già annunciato Cyber Resilience Act, che riguarderà la sicurezza di prodotti hardware, software e servizi digitali.