Le compagnie fornitrici di servizi essenziali in settori quali l’energia, i trasporti, la sanità e il settore bancario, o i fornitori di servizi digitali come i motori di ricerca e i servizi di cloud computing, dovranno migliorare le loro difese contro gli attacchi informatici, secondo le prime norme UE in materia di sicurezza informatica approvate, in via definitiva, mercoledì dal Parlamento. ( in allegato il testo finale)
Secondo i deputati, la definizione di standard comuni di sicurezza informatica e il rafforzamento della cooperazione tra i paesi dell’UE aiuterà le imprese a proteggere se stesse e a prevenire gli attacchi alle infrastrutture dei paesi dell’Unione Europea.
“Gli incidenti in ambito di sicurezza informatica presentano molto spesso una caratteristica transfrontaliera e, quindi, riguardano più di uno Stato membro dell’Unione Europea. Una protezione informatica frammentata rende tutti noi vulnerabili e rappresenta un grande rischio per la sicurezza dell’Europa intera. Questa direttiva stabilirà un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione e rafforzerà la cooperazione tra gli Stati membri, aiutando a prevenire futuri attacchi informatici a importanti infrastrutture interconnesse in Europa”, ha detto il relatore Andreas Schwab (PPE, DE).
La direttiva sulla sicurezza delle reti e dei sistemi informativi nell’UE è “anche uno dei primi quadri legislativi che si applica alle piattaforme. In linea con la strategia del mercato unico digitale, stabilisce i requisiti per le piattaforme online e assicura che possano rispettare tali norme ovunque esse operino nell’UE”, ha aggiunto il relatore.
La nuova normativa stabilisce obblighi in materia di sicurezza e di notifica per gli “operatori di servizi essenziali” in settori quali l’energia, i trasporti, la sanità, il settore bancario e la fornitura di acqua potabile. Gli Stati membri dovranno identificare i soggetti che operano in questi settori seguendo criteri specifici, tra cui la fornitura di servizi essenziali per il mantenimento di attività sociali ed economiche cruciali.
Alcuni fornitori di servizi digitali – mercati online, motori di ricerca e servizi di cloud computing – dovranno, oltre ad adottare misure per garantire la sicurezza delle loro infrastrutture, notificare gli incidenti più rilevanti alle autorità nazionali competenti. Le micro e le piccole imprese digitali sono esentate da tali requisiti.
Le nuove norme prevedono un “gruppo di cooperazione” per scambiare informazioni fra le autorità nazionali e fornire loro assistenza. Ogni Stato dell’UE dovrà adottare una strategia nazionale sulla sicurezza della rete e dei sistemi informativi.
Gli Stati membri dovranno inoltre designare gruppi d’intervento per la sicurezza informatica in caso d’incidenti (CSIRT), che si occupino di trattare incidenti e rischi, discutere sulle problematiche di sicurezza transfrontaliera e identificare risposte coordinate.
La direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS) sarà presto pubblicata sulla Gazzetta ufficiale dell’UE ed entrerà in vigore il ventesimo giorno successivo alla sua pubblicazione. Gli Stati membri avranno poi 21 mesi di tempo per recepire la direttiva negli ordinamenti nazionali e sei mesi supplementari per identificare gli operatori dei servizi essenziali.
Per leggere l’intervista al relatore, Andreas Schwab, cliccare su
