Gli ultimi cinque anni di Direttive Europee hanno messo in piedi un sistema legislativo per la tutela della dimensione digitale della vita dei cittadini dell’Unione. Tra limiti e ritardi applicativi il panorama della cybersecurity europea è un puzzle ancora molto complesso.
Digitalizzazione, transizione su cloud e smart working. Non tendenze passeggere, ma parte di una progressiva evoluzione della società verso un modello di vita sempre più ibrido tra fisico e digitale. Per l’Unione Europea è fondamentale portare avanti una campagna di progetti legislativi per tutelare i suoi cittadini e la loro vita online anticipando, e talvolta rincorrendo, le evoluzioni di un panorama in continua trasformazione.
Il progetto di emendamento della Direttiva sul network and information security, conosciuta come Direttiva NIS, è sfociato nella proposta di una nuova versione più aggiornata, una Direttiva NIS 2, solo all’inizio del 2021, mentre, un nuovo Cybersecurity act, che stabilisce le linee guide per la gestione degli attacchi informatici e rende permanente l’ENISA (l’agenzia per la cyber sicurezza europea), è stato definito a maggio di quest’anno.
Tutte misure che sembrano essere state spinte, o quantomeno velocizzate, dalla pandemia che ha costretto tutta l’Europa a chiudersi in casa e portare avanti le attività produttive online. Di conseguenza, il trasferimento di informazioni sensibili sulla rete ha forzato l’UE a fare i conti con l’inadeguatezza delle sue norme, correndo ai ripari il prima possibile.
NIS e GDPR
Dal punto di vista della sicurezza informatica, l’Unione persegue l’obiettivo di un cyberspazio “aperto e sicuro” focalizzando la propria attenzione sulla tutela delle cosiddette infrastrutture critiche, cardini della società europea, il cui buon funzionamento deve essere preservato e garantito. È del 2016 la prima Direttiva che contiene indicazioni pratiche sull’information security. La Direttiva sul network and information security, conosciuta come Direttiva NIS, doveva essere, infatti, il vademecum degli Stati dell’Unione per la gestione dei dati raccolti e generati dalla navigazione web. Nella pratica non è stato così.
Nonostante il Regolamento Generale sulla Protezione dei Dati, il celebre GDPR, che stabilisce i limiti di quello che può essere fatto con i dati di navigazione dei cittadini europei, la sicurezza e l’utilizzo della traccia che produciamo navigando il web, non è ancora, definitivamente, a prova di attacco informatico.
Tra gli obiettivi della Direttiva NIS c’era quello di proporsi come catalizzatore per la realizzazione di strumenti di sicurezza comuni da mettere in campo in ogni paese dell’Unione. Un tentativo concretizzato con l’istituzione di agenzie quali l’ENISA e l’obbligo di realizzare Punti di Contatto Unici e di gruppi di intervento per la sicurezza informatica in caso di incidenti (gli CSIRT) all’interno di ognuno degli Stati, per assicurarsi scambio d’informazioni e l’adeguamento agli standard europei.
Frammentarietà nell’applicazione della NIS
Nonostante questi tentativi, l’applicazione della Direttiva NIS a livello locale è rimasta frammentaria, lo ha raccontato l’Avvocato Delia Roselli, Legal Manager di Sham in Italia in un’intervista per Sanità360°. È per questo che è stato necessario riprenderla in mano e modificarla per affrontare le carenze che l’avevano resa di così difficile applicazione. Il processo di revisione ha portato alla proposta di una nuova Direttiva che sia, in qualche modo, “a prova di futuro”: la Direttiva NIS 2 attualmente in via di revisione e approvazione dal Parlamento europeo. Tra gli aspetti innovativi della NIS 2 c’è l’inserimento di nuove tecnologie che non erano state considerate o non adeguatamente, nella versione precedente. Tra queste, di particolare attenzione è la produzione di dispositivi medici, nonché l’inclusione della crittografia e dei controlli sulla sicurezza informatica dei propri fornitori fra le nuove misure tecnico-organizzative che ciascuno Stato deve adottare per contenere il rischio informatico.
Azioni individuali
Il rischio di perdita o diffusione non autorizzata di dati sensibili non può essere un elemento da sottovalutare nella società sempre più digitale. E non è presa sotto gamba dall’Unione che con l’ultimo Cybersecurity Act richiede che tutti i presunti attacchi informatici vengano comunicati anche in assenza di prove sulla diffusione d’informazioni.
L’international association of insurance supervisors, l’IAIS, sottolinea che nonostante siano presenti polizze per assicurare rischi informatici, non si è ancora in grado di valutare correttamente il grado di rischio associato Le strutture quindi, per quanto possano correre ai ripari da un punto di vista tecnologico, non possono e non dovrebbero sottostimare l’importanza di tutelarsi anche nei confronti del rischio residuo.
