La direttiva NIS sta giungendo alle battute finali e proprio in questi giorni i Ministri degli Stati Membri, la Commissione Europea e gli europarlamentari si sono incontrati per la prima volta per discuterne alcuni aspetti considerati spinosi.
La prima questione oggetto di forte dibattito è l’inclusione o meno dei cosiddetti “enablers of information society services”, quelli che spesso vengono anche definiti OTT o Over the Top operators: per capirci, aziende del calibro di Google, Facebook, Apple, ecc. Sebbene il testo originale della direttiva includesse anche questi operatori, il parlamento ha ritenuto opportuno escluderli, restringendo l’obbligo di notifica di incidenti gravi solo agli operatori infrastrutturali o a quegli operatori che servono infrastrutture critiche.
In caso di incidente grave che possa minare la continuità di servizi critici, l’operatore è obbligato a notificare la propria autorità nazionale designata. Da quanto emerge dall’incontro di questa settimana, sembra che gli Stati Membri stiano annacquando ulteriormente la direttiva, escludendo la possibilità che le notifiche raccolte a livello nazionale vengano poi fatte circolare a livello di comunità europea.
Questi passi indietro indeboliscono ulteriormente una direttiva già poco solida fin dalla sua origine. Si sta ripetendo ciò che è accaduto nel 2008 con la Direttiva 2008/114/EC del’8 Dicembre 2008 per “l’Identificazione e designazione delle Infrastrutture Critiche Europee e valutazione della necessità di migliorarne la protezione” (recepita con il D.Lgs 61/2011): una iniziativa del tutto cosmetica che ha solo generato convegni e dibattiti, portando a poche iniziative concrete.
C’è un problema di fondo: i temi di sicurezza globale, come la Cyber Security, mal si sposano con il principio di sussidiarietà dell’Unione Europea. Non è un caso che l’Unione Europea non disponga di una forza di polizia unica, di un servizio di intelligence unico, di un sistema di difesa unico. Sebbene alcuni di questi domini della sicurezza richiedano sempre di più un approccio coordinato, la Cyber Security per sua natura non può essere affrontata singolarmente. I motivi sono tanti e stranoti: si tratta di una infrastruttura globale, fortemente interconnessa, i cui attori chiave sono globali. L’approccio Nazionale è fallimentare e può condurre a derive pericolose, tra le quali la cosiddetta “balcanizzazione” di Internet. E ci sono già ipotesi a livello di alcuni Stati Membri per “nazionalizzare” alcuni servizi critici.
L’unico vero effetto dalla direttiva sarà una sensibilizzazione di quei paesi che ancora non hanno iniziato ad indirizzare seriamente il tema della Cyber Security. Ma quanti sono? Pochi, molto pochi. E non è il caso dell’Italia, che negli ultimi anni ha prestato crescente attenzione al tema, definendo un modello di governance e avviando alcuni cantieri importanti come il Piano Nazionale, il CERT Nazionale, il CERT-PA e continuando a sviluppare capacità chiave come il CNAIPIC presso la Polizia Postale e delle Comunicazioni.
Un altro esempio degli effetti negativi del principio di sussidiarietà applicato alla sicurezza è dato dal recentissimo regolamento eIDAS (electronic identification and trust services). Il regolamento tratta il tema delle Identità Digitali e dei cosiddetti servizi fiduciari, ma sulle Identità adotta il principio di sussidiarietà riconoscendo di fatto tutti i sistemi che sono stati o che saranno sviluppati dagli Stati Membri. Una babele! Nel 2008 ebbi l’opportunità di sottoporre il tema al Parlamento Europeo insieme ad Andrea Servida della Commissione Europea (poi diventato capo della Task Force eIDAS): entrambi proponevamo un intervento comunitario integrato sull’Identità Digitale, in modo da poter avere un unico sistema interoperabile e forte nei confronti dei grandi operatori internazionali. Poco dopo, il parlamento avviava i lavori di eIDAS, escludendo però il tema dell’Identità Digitale e ricollegandolo al tema delle Carte d’Identità. Fu un doppio errore: Identità Digitali sono cose ben diverse dalle carte d’identità elettroniche (paesi come il Regno Unito hanno un sistema di Identità Digitale, ma non di carta d’identità!) e ora abbiamo una situazione in Europa talmente variegata da renderne l’interoperabilità tecnicamente possibile, ma praticamente inattuabile.
Ci sono anche esempio nell’ambito sicurezza dove invece si è deciso di lavorare a regole e approcci comuni, pur rispettando l’indipendenza degli stati membri; ne cito due: 1) la sicurezza del sistema elettrico europeo, regolato dal 1951 al 2009 dall’UCTE Union for the coordination of transmission of Energy, una associazione che ha definito regole comuni per la sicurezza e l’affidabilità della rete elettrica europea; 2) la sicurezza del controllo di volo, regolata in Europa da Eurocontrol, che emana policy e regole comuni per tutti gli operatori del controllo di volo in Europa.
C’è quindi da augurarsi che la nuova Commissione e il nuovo parlamento europeo prendano coraggio su questi temi e lavorino per far comprendere agli stati membri che senza unità, non c’è modo di migliorare la sicurezza di Internet.