La Commissione Europea ha annunciato due nuove direttive sui temi della protezione delle infrastrutture critiche e della cyber security: la Direttiva NIS 2 – che revisiona la Network and Information Security – e la Direttiva ICE, che revisiona la 114/08 sulle Infrastrutture Critiche Europee.
Il loro combinato disposto può cambiare lo scenario della cyber security europea. E l’Italia, per cogliere quest’opportunità, ben avrebbe bisogno di un istituto o fondazione che si faccia catalizzatore dell’innovazione cyber nostrana; simile all’istituto italiano di cybersicurezza, quello appena espunto definitivamente dalla norma sul Recovery Fund.
Per capire perché, entriamo nel merito delle proposte europee.
La revisione della Direttiva NIS
La prima sarà la revisione della NIS, Network and Information Security. Le istanze che portano alla sua proposizione sono state raccolte dalla Commissione con un sondaggio sottoposto a tutti gli Stati membri.
È emerso che il livello di cyber security nel business è ancora basso in tutta Europa, che il livello di resilienza è ancora inconsistente in molti settori e in molti Paesi, che manca una condivisione delle informazioni che sia organizzata, costante e che veda tutti gli Stati Membri partecipare allo stesso modo, e infine che manca una organizzazione di gestione delle crisi europea comune.
La Direttiva proposta individua due tipi di “grandi potenziali vittime”: le definisce entità, essenziali e importanti e si applicherà a tutte le grandi e medie imprese appartenenti ai settori identificati, nonché alle piccole imprese di tali settori che rappresentino colli di bottiglia nella catena del valore oppure siano operatori attinenti alle reti o ai servizi digitali.
Le entità “essenziali”
- Energia
- Trasporti
- Banche
- Infrastrutture dei mercati finanziari
- Sanità
- Acqua potabile
- Acque reflue
- Infrastrutture digitali
- Pubblica amministrazione
- Spazio
Le “entità importanti”
La novità interessante è l’ingresso di questi nuovi settori ritenuti “importanti”, quindi con obblighi minori, ma comunque attenzionati.
- Servizi postali e corrieri
- Smaltimento rifiuti
- Manifattura, produzione e distribuzione di prodotti chimici
- Produzione, elaborazione e distribuzione di alimenti
- Manifattura
- Provider di servizi digitali
Si propone, quindi, di abolire le autorità competenti all’individuazione degli Operatori di Servizi Essenziali e si persegue l’incremento di armonizzazione su tutto il suolo Europeo in termini di cyber security.
La Direttiva NIS 2 si colloca in un quadro complesso e composito di normazione e procede di pari passo con la seconda Direttiva proposta, che revisiona la 114/08 sulle Infrastrutture Critiche Europee. Sarà il combinato disposto delle due a darci il quadro completo del progetto della Commissione.
La Direttiva ICE 2
La Direttiva ICE 2 è dedicata al tema della resilienza delle entità critiche. In particolare, si occuperà delle entità critiche e della loro sicurezza rispetto a minacce fisiche, o, come si usa dire oggi, cinetiche. Essa darà il compito alle autorità competenti di condividere informazioni e intraprendere misure complementari alla NIS 2, riguardanti la resilienza cinetica. Gli operatori pubblici e privati che saranno identificati sotto l’egida di tale direttiva saranno soggetti a maggiori e più chiari obblighi di protezione e resilienza.
La NIS2 imporrà di adottare una strategia nazionale di cyber security in ogni Stato membro, con una Autorità competente alla attuazione designata per legge. Gli operatori essenziali e importanti avranno obblighi inerenti alla valutazione e la gestione del rischio, obblighi di notifica all’Autorità competente e obblighi di condivisione delle informazioni (auspicabilmente anche tra loro).
La Direttiva prosegue analizzando anche temi di certificazione e standardizzazione di cyber security e crea una rete informativa denominata Cyclone per la gestione di un framework di cyber security e per il rafforzamento delle supply chain.
La lettura della proposta evidenzia un legislatore molto più maturo, consapevole e deciso. La proposta sembra estremamente interessante e pone le basi per una vera svolta europea sul tema cyber.
La Direttiva ICE 2 arriva su un panorama di sole 94 ICE designate dal 2008, due terzi delle quali collocate in tre Paesi dell’Europa Centrale e Orientale. Tuttavia, lo scopo della Direttiva era soprattutto uniformare il concetto di infrastruttura critica, cosa che è stata raggiunta anche se il panorama normativo in termini di sicurezza è comunque divergente nei vari Paesi europei.
La strategia nazionale di resilienza delle entità critiche
Essa impone che ogni Paese membro adotti una strategia nazionale di resilienza delle entità critiche. Individua i seguenti settori come potenzialmente critici:
- Energia
- Trasporti
- Banche
- Infrastrutture dei mercati finanziari
- Sanità
- Acqua potabile
- Acque reflue
- Infrastrutture digitali
- Pubblica amministrazione
- Spazio
Che poi sono gli stessi della NIS 2 di livello “essenziale”. Gli operatori verranno identificati e designati sulla base di una Analisi del Rischio basata su indicatori standardizzati e saranno soggetti a obblighi aggiuntivi riguardanti la resilienza da minacce cinetiche.
L’analisi del rischio prenderà in considerazione minacce naturali e antropiche, inclusi incidenti, disastri naturali, emergenze di pandemie pubbliche, minacce antagoniste e terroriste.
Il gruppo per la resilienza delle entità critiche
Viene inoltre costituito un gruppo per la resilienza delle entità critiche.
Anche in questo caso il legislatore appare molto più maturo e consapevole. La proposta è un’ottima controparte della NIS 2, volta a garantire che la sicurezza tutta, e non solo la cyebr security, sia curata e normata e attenzionata opportunamente.
Finalmente un panorama completo sulle Infrastrutture critiche, che riconosce a queste e ai loro operatori una necessità di protezione e sicurezza a tutto tondo e non solo cyber.
Conclusioni
In questo contesto di rinnovato impegno, l’idea di una Fondazione o di un Istituto che le possa raccogliere con lo scopo di identificare i maggiori temi di ricerca e sviluppo e indirizzare la produzione tecnologica di avanguardia italiana poteva essere una eccellente idea.
Molti Paesi lo hanno già fatto e molti agiscono comunque in modo coerente con questi obiettivi attraverso le Agenzie istituzionali che si occupano di Infrastrutture Critiche. L’istituto cybersecurity nazionale avrebbe potuto essere una risposta saggia, innovativa e quasi futurista per riunire tutte le entità critiche, essenziali o importanti, e coinvolgerle in modo diretto nella stesura delle specifiche funzionali dei prodotti futuri dell’Italia, per garantire a tutti noi un futuro tecnologico, innovativo, nazionale, indipendente.
Vedremo se la proposta tornerà alla ribalta e in quel caso auguriamoci che non venga immolata su altri altari.