CYBER SECURITY

La nuova direttiva UE su Cyber Security: pro e contro

La direttiva alle battute finali. In discussione in queste ore si sta discutendo di alleggerire gli obblighi per gli operatori, con il rischio è di avere un ennesimo intervento normativo inutile, in un’area sempre più delicata

Pubblicato il 23 Ott 2014

Andrea Rigoni

Intellium

sicurezza-140405160428

La direttiva NIS sta giungendo alle battute finali e proprio in questi giorni i Ministri degli Stati Membri, la Commissione Europea e gli europarlamentari si sono incontrati per la prima volta per discuterne alcuni aspetti considerati spinosi.

La prima questione oggetto di forte dibattito è l’inclusione o meno dei cosiddetti “enablers of information society services”, quelli che spesso vengono anche definiti OTT o Over the Top operators: per capirci, aziende del calibro di Google, Facebook, Apple, ecc. Sebbene il testo originale della direttiva includesse anche questi operatori, il parlamento ha ritenuto opportuno escluderli, restringendo l’obbligo di notifica di incidenti gravi solo agli operatori infrastrutturali o a quegli operatori che servono infrastrutture critiche.

In caso di incidente grave che possa minare la continuità di servizi critici, l’operatore è obbligato a notificare la propria autorità nazionale designata. Da quanto emerge dall’incontro di questa settimana, sembra che gli Stati Membri stiano annacquando ulteriormente la direttiva, escludendo la possibilità che le notifiche raccolte a livello nazionale vengano poi fatte circolare a livello di comunità europea.

Questi passi indietro indeboliscono ulteriormente una direttiva già poco solida fin dalla sua origine. Si sta ripetendo ciò che è accaduto nel 2008 con la Direttiva 2008/114/EC del’8 Dicembre 2008 per “l’Identificazione e designazione delle Infrastrutture Critiche Europee e valutazione della necessità di migliorarne la protezione” (recepita con il D.Lgs 61/2011): una iniziativa del tutto cosmetica che ha solo generato convegni e dibattiti, portando a poche iniziative concrete.

C’è un problema di fondo: i temi di sicurezza globale, come la Cyber Security, mal si sposano con il principio di sussidiarietà dell’Unione Europea. Non è un caso che l’Unione Europea non disponga di una forza di polizia unica, di un servizio di intelligence unico, di un sistema di difesa unico. Sebbene alcuni di questi domini della sicurezza richiedano sempre di più un approccio coordinato, la Cyber Security per sua natura non può essere affrontata singolarmente. I motivi sono tanti e stranoti: si tratta di una infrastruttura globale, fortemente interconnessa, i cui attori chiave sono globali. L’approccio Nazionale è fallimentare e può condurre a derive pericolose, tra le quali la cosiddetta “balcanizzazione” di Internet. E ci sono già ipotesi a livello di alcuni Stati Membri per “nazionalizzare” alcuni servizi critici.

L’unico vero effetto dalla direttiva sarà una sensibilizzazione di quei paesi che ancora non hanno iniziato ad indirizzare seriamente il tema della Cyber Security. Ma quanti sono? Pochi, molto pochi. E non è il caso dell’Italia, che negli ultimi anni ha prestato crescente attenzione al tema, definendo un modello di governance e avviando alcuni cantieri importanti come il Piano Nazionale, il CERT Nazionale, il CERT-PA e continuando a sviluppare capacità chiave come il CNAIPIC presso la Polizia Postale e delle Comunicazioni.

Un altro esempio degli effetti negativi del principio di sussidiarietà applicato alla sicurezza è dato dal recentissimo regolamento eIDAS (electronic identification and trust services). Il regolamento tratta il tema delle Identità Digitali e dei cosiddetti servizi fiduciari, ma sulle Identità adotta il principio di sussidiarietà riconoscendo di fatto tutti i sistemi che sono stati o che saranno sviluppati dagli Stati Membri. Una babele! Nel 2008 ebbi l’opportunità di sottoporre il tema al Parlamento Europeo insieme ad Andrea Servida della Commissione Europea (poi diventato capo della Task Force eIDAS): entrambi proponevamo un intervento comunitario integrato sull’Identità Digitale, in modo da poter avere un unico sistema interoperabile e forte nei confronti dei grandi operatori internazionali. Poco dopo, il parlamento avviava i lavori di eIDAS, escludendo però il tema dell’Identità Digitale e ricollegandolo al tema delle Carte d’Identità. Fu un doppio errore: Identità Digitali sono cose ben diverse dalle carte d’identità elettroniche (paesi come il Regno Unito hanno un sistema di Identità Digitale, ma non di carta d’identità!) e ora abbiamo una situazione in Europa talmente variegata da renderne l’interoperabilità tecnicamente possibile, ma praticamente inattuabile.

Ci sono anche esempio nell’ambito sicurezza dove invece si è deciso di lavorare a regole e approcci comuni, pur rispettando l’indipendenza degli stati membri; ne cito due: 1) la sicurezza del sistema elettrico europeo, regolato dal 1951 al 2009 dall’UCTE Union for the coordination of transmission of Energy, una associazione che ha definito regole comuni per la sicurezza e l’affidabilità della rete elettrica europea; 2) la sicurezza del controllo di volo, regolata in Europa da Eurocontrol, che emana policy e regole comuni per tutti gli operatori del controllo di volo in Europa.

C’è quindi da augurarsi che la nuova Commissione e il nuovo parlamento europeo prendano coraggio su questi temi e lavorino per far comprendere agli stati membri che senza unità, non c’è modo di migliorare la sicurezza di Internet.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati