Cyber security, le due nuove direttive europee su protezione delle infrastrutture critiche e della cyber security

MILANO - Sono state annunciate dalla Commissione Europea due nuove direttive sui temi della protezione delle infrastrutture critiche e della cyber security che possono cambiare lo scenario della cyber security europea. Il riferimento è alla Direttiva NIS 2, che revisiona la Network and Information Security, e alla Direttiva ICE, che revisiona invece la 114/08 sulle Infrastrutture Critiche Europee.

La revisione della Direttiva NIS

La prima direttiva sarà la revisione della NIS, Network and Information Security. La Commissione, attraverso un sondaggio proposto agli Stati membri, ha raccolto le opinioni che portano alla sua proposizione e che hanno fatto emergere che il livello di cyber security nel business è ancora basso in tutta Europa, così come il livello di resilienza, fragile in diversi settori e in molti Paesi. E' stato evidenziato anche che è assente una condivisione delle informazioni organizzata e costante, che veda gli Stati membri partecipare in egual misura. Manca anche un'organizzazione di gestione comune delle crisi europea.

La Direttiva proposta individua due tipi di “grandi potenziali vittime”, che sono definite entità, essenziali e importanti. Si applicherà a tutte le grandi e medie imprese che appartengono ai settori identificati, nonché alle piccole imprese di tali settori che rappresentino colli di bottiglia nella catena del valore oppure siano operatori attinenti alle reti o ai servizi digitali.

Le entità “essenziali” sono: Energia; Trasporti; Banche; Infrastrutture dei mercati finanziari; Sanità; Acqua potabile; Acque reflue; Infrastrutture digitali; Pubblica amministrazione; Spazio

Sono considerate “entità importanti” nuovi settori che si ritiene abbiano obblighi minori, ma che sonoin ogni caso attenzionati (Servizi postali e corrieri; smaltimento rifiuti; Manifattura, produzione e distribuzione di prodotti chimici; Produzione, elaborazione e distribuzione di alimenti; Manifattura; Provider di servizi digitali). Si propone, quindi, di abolire le autorità competenti all’individuazione degli Operatori di Servizi Essenziali e si persegue l’incremento di armonizzazione su tutto il territorio europeo in termini di cyber security.

La Direttiva NIS 2 si colloca in un quadro complesso di normazione e procede di pari passo con la seconda Direttiva proposta, che revisiona la 114/08 sulle Infrastrutture Critiche Europee. Sarà il combinato disposto delle due a offrire un quadro completo del progetto della Commissione.

La Direttiva ICE 2

Per quanto riguarda la Direttiva ICE 2, essa è dedicata al tema della resilienza delle entità critiche. Si occuperà delle entità critiche e della loro sicurezza rispetto a minacce fisiche e darà il compito alle autorità competenti di condividere informazioni e intraprendere misure complementari alla NIS 2, riguardanti la resilienza cinetica. Gli operatori pubblici e privati che saranno identificati sotto l’egida di codesta direttiva saranno soggetti a obblighi di protezione e resilienza più forti e chiari.

La NIS2 imporrà di adottare una strategia nazionale di cyber security in ogni Stato membro, con una Autorità competente alla attuazione designata per legge. Gli operatori essenziali e importanti avranno obblighi che riguardano la valutazione e la gestione del rischio, obblighi di notifica all’Autorità competente e obblighi di condivisione delle informazioni, anche tra loro.

(Fonte: https://www.agendadigitale.eu/)