el giugno ">
Sicurezza e Privacy
Il Nis, tassello di una strategia globale per la sicurezza informatica
di Maurizio Mensi
Img Description

Nel giugno 2007, due mesi dopo l’attacco all’Estonia, il ministro della Difesa del paese baltico invocò regole per la cybersicurezza simili a quelle introdotte nel 1856 nel diritto marittimo che avevano posto fine alla pratica delle navi corsare. Il grido d’allarme rese evidente che occorreva uno sforzo a livello internazionale ed europeo, per rendere affidabili e sicure reti, servizi e sistemi informativi e ricondurre alla disciplina del diritto fenomeni la cui diffusione e rilevanza rischiava di mettere in crisi un mercato vieppiù basato sull’interscambio dei dati, minando la fiducia di cittadini-consumatori e imprese.

Dopo aver definito nel 2008 il concetto di “infrastruttura critica europea”, ancorché limitato ai settori di energia e trasporti, lo sforzo giunge a compimento nel 2016 con la direttiva Nis, che delinea un più ampio sistema integrato di soggetti pubblici e privati basato su responsabilità e compiti condivisi, definiti e verificabili, regole cogenti per settori specifici, suscettibili di allargarsi ad altri in virtù del principio dell'”armonizzazione minima”, oltre a “cybersecurity capabilities” adeguate. Il progetto è ambizioso e la Commissione Ue non ne fa mistero: occorre che l'attuazione della Nis da parte degli Stati membri avvenga sulla base di un approccio armonizzato, ad evitare disallineamenti e frammentazioni tali da comprometterne gli obiettivi. Di qui una serie di indicazioni concrete per gli Stati membri in vista delle scadenze del 9 maggio e del 9 novembre 2018, rispettivamente per la sua trasposizione e la designazione degli operatori dei servizi essenziali che gestiscono infrastrutture critiche.

Con la Nis la cybersicurezza entra a far parte a pieno titolo del lessico europeo. Termina la fase in cui gli Stati, sulla base della nozione indefinita di “sicurezza nazionale”, sono liberi di muoversi con disinvoltura e ne incomincia una nuova, fatta di previsioni puntuali, coordinamento e interazione, sotto la guida della Commissione. Lo impongono le regole di un sistema ormai integrato che in quello stesso anno, il 2016, vede Europa e Stati Uniti riprendere il dialogo, con l’accordo sul Privacy Shield raggiunto dopo mesi di tensione seguita alla sentenza sul caso Schrems e il rilevante allineamento normativo compiuto dagli Usa ai più rigorosi parametri europei. Privacy e cybersicurezza sono ormai due facce della stessa medaglia, strettamente collegate. Il 2016 è anche l’anno in cui viene adottato il “pacchetto” europeo in tema di protezione dati personali, con il regolamento applicabile dal 25 maggio, destinato a diventare best practice internazionale, frutto di un complesso e articolato processo di adozione.

La Nis non è pertanto solo il primo insieme organico di norme in tema di cybersicurezza, ma l’elemento centrale di un cantiere normativo in corso che vede tuttora impegnati vari attori, a vari livelli e su vari fronti.

In primis gli Stati membri che, scaduto qualche giorno fa il termine per la trasposizione, sono ora impegnati nella individuazione degli operatori dei servizi essenziali sotto l'occhio vigile della Commissione; quindi il Consiglio d'Europa, che ha da qualche giorno concluso la revisione della convenzione n. 108 del 1981, speculare al Gdpr. Protagonista della scena è tuttavia l’Unione europea, che con la Nis torna ad assumere il ruolo di guida e stimolo a lungo atteso. Dopo le misure del Privacy Package del 2016 (ne fanno parte, insieme al Gdpr, la direttiva enforcement e la Pnr sui dati dei passeggeri aerei), sta aggiornando le regole sulla e-privacy per le comunicazioni elettroniche e, con il Cybersecurity Act e il previsto sistema di certificazione, ha posto le basi del futuro mercato europeo della cybersicurezza. Gli strumenti sono diversi ma gli obiettivi convergono: affidabilità e sicurezza delle attività economiche e sociali. Gli stessi che sono alla base della Nis, che si rivela quindi tassello fondamentale del complesso e articolato mosaico che la Ue sta poco a poco componendo. Ne sono oggetto reti, sistemi, servizi informativi e dati personali, sempre più strettamente interconnessi.

Hai raggiunto il limite di 10 articoli gratuiti disponibili questo mese.
Abbonati a Il Sole 24 Ore Mobile per avere accedere illimitatamente a tutti i contenuti del sito mobile
Inserisci il tuo numero di cellulare per attivare l'offerta o, se sei già abbonato, per continuare a leggere.
Altre informazioni