Il Parlamento Europeo ha annunciato un “accordo quadro” che mira a rafforzare la cybersecurity e la resilienza di soggetti pubblici e privati che operano nell’Unione Europea. La direttiva battezzata “NIS2” (Network and Information System 2) andrà a sostituire l’attuale legislazione sulla cybersecurity, ormai risalente al luglio 2016 (che in informatica è circa un’era geologica fa). La nuova normativa coinvolgerà direttamente tutte le aziende operanti nei comparti dell’energia, dei trasporti, dei mercati finanziari, della salute e delle infrastrutture digitali, affinché queste aderiscano all’implementazione di misure per la gestione dei rischi e agli obblighi di rendicontazione degli incidenti – dunque ogni cyberattacco dovrà essere riportato immediatamente e non oltre le 24 ore; inoltre, stando alla nuova norma, detti soggetti dovranno procedere all’applicazione di patch correttive dei software utilizzati e dovranno curare il risk management delle proprie reti di lavoro. La mancata osservanza di questi nuovi obblighi comporterà l’irrogazione di sanzioni pecuniarie. Nascerà, dunque, una rete europea chiamata “European Cyber Crisis Liaison Organization Network” (alias EU-CyCLONe) che supporterà la gestione e la risoluzione degli incidenti di cybersecurity su larga scala, attraverso l’attuazione del modello “rileva, riporta, blocca e rimuovi” (detect, report, block, remove) già efficacemente usato nella lotta alla pedopornografia online. Tuttavia si presenta un nodo difficile da sciogliere a causa dell’ormai diffusissima crittografia “end-to-end” utilizzata in molte applicazioni di messaggistica: la bozza del NIS2 afferma a chiare lettere che l’uso di questa tecnologia crittografica deve essere rimesso in discussione con tutti gli Stati Membri al fine di assicurare la tutela del legittimo interesse alla sicurezza pubblica e alla sicurezza informatica, nonché al fine di consentire le indagini nei casi di reati commessi e celati con l’uso di tale crittografia. La bozza, non di meno, riconosce l’importanza della tutela alla privacy fornita dalla crittografia end-to-end, pertanto richiede che si trovi un compromesso tra il diritto alla privacy degli utilizzatori e il legittimo potere di investigazione delle forze di polizia. Una volta promulgata la direttiva, gli Stati Membri avranno 21 mesi per recepire le statuizioni nei rispettivi ordinamenti poiché, come afferma il Consiglio dell’Unione Europea “il numero, la grandezza, la sofisticatezza, la frequenza e l’impatto dei cyberattacchi sono in aumento e rappresentano una minaccia crescente per il funzionamento delle moderne strutture informatiche“, quindi, “la conoscenza e l’efficacia della cybersecurity sono essenziali oggi più che mai per garantire il funzionamento del mercato interno“. Fonte: Strengthening EU-wide cybersecurity and resilience – provisional agreement by the Council and the European Parliament – Consilium (europa.eu)