sicurezza informatica nuove norme e team di esperti

Nel 2013 la Commissione Europea ha proposto una direttiva avente per oggetto la sicurezza delle reti e dei sistemi informativi. Nel dicembre 2015 tale direttiva è riuscita ad ottenere l’ok del Parlamento e della Commissione Europea, per poi ricevere, nel mese di maggio 2016, l’approvazione da parte del Consiglio d’Europa. Dalla sua pubblicazione sulla Gazzetta ufficiale dell’UE, gli Stati membri avranno a disposizione 21 mesi per recepirla.

La nuova normativa risponde ad un’esigenza sempre più pressante. In base a recenti sondaggi, è risultato come circa l’80% delle aziende operanti in territorio europeo si siano trovate ad affrontare incidenti legati alla sicurezza informatica, nel solo anno 2015. Sempre nel medesimo periodo, a livello mondiale il numero degli incidenti ha avuto un incremento pari al 38%. In base a quanto dichiarato dai deputati che hanno partecipato ai lavori, essere riusciti a definire degli standard comuni e, al tempo stesso, aver posto le basi per un rafforzamento della cooperazione tra i Paesi membri, potrà garantire una maggiore protezione alle imprese e un’efficace prevenzione agli attacchi alle infrastrutture.

Il relatore Andreas Schwab ha voluto precisare che molti degli incidenti nell’ambito della sicurezza informatica hanno carattere “transfrontaliero”; pertanto, mantenere una protezione informatica frammentata può portare solo ad una maggiore vulnerabilità. Il voto positivo del Parlamento è stato colto con soddisfazione anche dal vice commissario della Commissione Europea Andrus Ansip, che ha evidenziato come un mercato unico digitale è in grado di crescere unicamente all’interno di un ambiente sicuro. Quanto previsto dalla nuova direttiva rappresenta uno dei primi quadri legislativi ad avere per oggetto le piattaforme e a stabilirne i requisiti.

All’interno della normativa sono previsti obblighi in materia di sicurezza informatica per gli operatori che forniscono servizi essenziali; tra questi rientrano le aziende operanti nel settore bancario, dei trasporti, della sanità, dell’energia e dell’acqua potabile. Le norme riguardano anche i fornitori di servizi digitali (ad esempio i servizi di cloud o i motori di ricerca), che saranno obbligati a migliorare le difese da possibili attacchi informatici. Dovranno anche garantire la sicurezza delle infrastrutture, e comunicare alle autorità nazionali competenti eventuali incidenti di rilievo. Ogni Paese membro dell’UE sarà tenuto ad adottare una strategia nazionale e a designare dei gruppi d’intervento per la sicurezza in caso di incidenti; inoltre, sono previsti dei “gruppi di cooperazione”, che avranno il compito di scambiare informazioni tra le autorità nazionali.