Le nuove regole puntano a superare l’attuale frammentazione normativa e stabiliscono un alto livello di sicurezza per le reti e i sistemi informatici comune a tutti i paesi dell’Unione.
Le aziende che si occupano di servizi indispensabili come quelle del settore dell’energia, del trasporto, della salute e dei servizi bancari e le compagnie che operano nell’area dei servizi informativi e delle risorse digitali dovranno intraprendere una serie di azioni volte a contenere possibili cyber-attacchi che possano minarne la sicurezza e la conservazione dei dati. È quanto stabiliscono le nuove regole approvate dai Membri della Commissione Mercato Interno del Parlamento Europeo e dai negoziatori del Consiglio, che devono ora essere confermate dall’intero Parlamento e dal Consiglio Europeo.
La nuova Direttiva è stata ideata per uniformare le singole normative dei 28 stati membri nei settori industriali di importanza critica in cui le aziende dovranno garantire di essere sufficientemente protette e dovranno impegnarsi a comunicare tempestivamente alle autorità nazionali qualunque breccia nei sistemi di sicurezza.
Assicurare la prevenzione di questo tipo di incidenti e garantire una risposta efficiente in caso di attacchi è un tema da tempo dibattuto in sede europea. La prima proposta della Direttiva risale al 2013. La Direttiva creerà un “gruppo di coordinazione” tra gli Stati, istituendo un Segretariato all’interno della Commissione, allo scopo di sostenere e facilitare la cooperazione strategica e lo scambio di informazioni tra le nazioni, sviluppando fiducia reciproca e affidabilità.
Dopo l’approvazione formale del testo la Direttiva sarà pubblicata nella Gazzetta ufficiale Europea ed entrerà in vigore. Da quel momento gli Stati Membri avranno 21 mesi per integrare la Direttiva nella legislazione nazionale e 6 mesi in più per identificare gli operatori dei servizi essenziali dei settori coinvolti.
La nuova normativa richiede agli Stati comunitari di definire politiche, misure regolatorie e obiettivi strategici per la sicurezza delle reti e dei sistemi informativi (Network and Information systems – NIS). Ogni singolo stato dovrà designare un’ autorità competente nazionale per l’implementazione e l’enforcement della Direttiva, così come dovrà organizzare le squadre speciali (Computer Security Incident Response Teams – CSIRTs) responsabili di gestire gli incidenti e i rischi.
Le squadre CSIRT di ogni stato si coordineranno all’interno di una rete comunitaria, la CSIRTs Network, allo scopo di promuovere gli scambi e la cooperazione effettiva sulla cybersicurezza, condividendo le informazioni sui rischi. L’ENISA si occuperà del Segretariato del CSIRTs Network.
Ulteriori informazioni sulla Direttiva sono disponibili sul sito del Parlamento Europeo. La bozza di testo approvata è disponibile QUI.
Aggiungi commento