Al via la revisione della direttiva Nis sulla sicurezza informatica. Molti i problemi da risolvere, dalla frammentazione degli Stati alle aziende che devono rispettare gli obblighi
Cinque anni volano, quando si parla di digitale. Specie quando si prevede che il problema da affrontare, la sicurezza informatica, raddoppierà in breve la conta dei danni: dai tremila miliardi di dollari del 2014 ai seimila del 2020, stando alle stime della società di analisi del settore, Cybersecurity Ventures. Così in Europa suona la campanella per la revisione della direttiva Nis sulla sicurezza cibernetica. La Commissione conta di chiudere l’aggiornamento del pacchetto di regole, scritto tra il 2014 e il 2015 e approvato nel 2016, già entro la fine dell’anno, in anticipo di qualche mese rispetto alla scadenza inizialmente fissata di maggio 2021.
Da un lato preme l’accelerazione tecnologica. Il cloud, per esempio, gioca un ruolo sempre più da protagonista, tanto che Francia e Germania si sono alleate per costruirne uno made in Europe: Gaia-X. Ma stando ai dati della società di ricerche di mercato Idc, se già ora il 46% dei dati archiviati dalle aziende del Vecchio continente sta sul cloud e circa la metà (43%) è di natura sensibile, solo il 54% è protetto da crittografia e il 44% anche da token.
Ma l’Europa ha l’urgenza di mettere al riparo anche le nuove reti 5G, così come di definire regole in grado di accompagnare tecnologie emergenti come intelligenza artificiale e internet delle cose, che espandono la superficie di attacco. Il Sistema europeo di strategia e analisi politica (Espas), un organo di consulenza, prevede che nel 2030 125 miliardi di oggetti saranno collegati in rete.
Dall’altro lato sulla Nis, che pure ha avuto il merito di “creare un campo di gioco comune e spingere gli Stati a investire”, ha ricordato Evangelos Ouzounis, che dirige l’area Infrastrutture e servizi di sicurezza dell’Agenzia europea per la cybersecurity (Enisa), in un seminario sulla direttiva organizzato dalla società di sicurezza cibernetica Kaspersky, i governi si sono mossi in ordine sparso. Risultato: le aziende denunciano norme confuse e asimmetrie da paese a paese. Per esempio, come racconta l’operatore telefonico francese Orange, “nell’identificare e selezionare le aziende rilevanti” da proteggere. Con il rischio di rendere le misure inconsistenti e difficile l’applicazione per le multinazionali. La Commissione raccoglierà le indicazioni fino al 2 ottobre, per poi discutere di quella che i tecnici definiscono la direttiva Nis++.
I problemi da risolvere
Le aziende si stanno già facendo sentire. Quattro i macro-temi sotto la lente della revisione. Primo: ridurre la frammentazione locale. Nel mirino c’è il processo di adozione da parte degli Stati, che genera distorsioni o norme discordanti.
Secondo problema: stabilire esattamente chi è dentro e chi è fuori. La direttiva identifica sette settori chiave, come salute, trasporti, energia, banche e finanza, infrastrutture, infrastrutture digitali e servizio idrico, ma poi spetta ai governi stabilire chi debba attenersi alle regole. Sono i cosiddetti operatori dei servizi essenziali (Ose), a cui aggiungere i fornitori di servizi digitali (Fsd). Ma quando ci si addentra nei criteri di scelta, inizia la giungla. La Federazione europea delle banche denuncia che alcuni governi richiedono standard fin troppo stringenti per operare.
L’Associazione europea dei consumatori (Beuc), per esempio, lamenta che sebbene “le piattaforme dei social network sono tra i fornitori di servizi digitali la cui esposizione agli attacchi informatici è tra le più alte”, sono escluse da questa direttiva “e non hanno l’obbligo di adeguarsi”. Così come, prosegue il Beuc, quando si parla di sanità, “non tutti gli ospedali e i professionisti sono identificati cono parte delle infrastrutture critiche”.
Per la Gsma, l’associazione degli operatori di rete mobile, e i colleghi dell’Etno (telecomunicazioni) occorre accogliere sotto l’egida della Nis anche i produttori di hardware e software. Che secondo la società di cybersecurity Palo Alto Networks dovrebbero dimostrare di fare acquisti da fornitori sicuri, estendendo i controlli a tutta la filiera. Una proposta sostenuta anche dai pareri finora pervenuti dalla Cina, ossia quelli del campione del 5G Huawei e del gigante della videosorveglianza Hikvision, che suggerisce un approccio security-by-design per l’internet delle cose. Dalla Confindustria tedesca all’Associazione europea dei data centre, inoltre, si propone di abbattere gli steccati tra Ose e Fds, visto che spesso un’azienda esercita funzioni in entrambi i campi. In generale, alla ricognizione della Commissione stanno partecipando da piccole imprese, che chiedono interventi specifici su settori come i droni e i servizi idrici, a colossi come Enel, che consiglia di estendere lo scudo anche alla generazione di energia e all’illuminazione per non lasciare buchi nella protezione informatica.
Terzo problema: l’incrocio con le altre norme europee. In particolare con la direttiva sulle infrastrutture critiche, approvata nel 2008, che indica come agire qualora siano pesantemente danneggiate. Il problema è che sono affidate a due direzioni diverse, con il rischio che, al temine della revisione di entrambe, si creino inutili sovrapposizioni. Quarta e ultima questione: gli obblighi delle aziende. Digital Europe, che rappresenta l’industria della tecnologia, chiede di non aumentare gli obblighi di comunicazione degli incidenti per non sommergere di notifiche le autorità locali, mentre Microsoft suggerisce di adottare anche strumenti normativi più leggeri, visto che la Nis è una direttiva relativamente giovane.
La diplomazia di Bruxelles
Secondo Ouzounis, nel 2016 serviva una spinta perché i governi “sviluppassero uno schema di gestione nazionale, investissero in reti di controllo per condividere le informazioni e identificassero i settori critici”. Mentre ora, prosegue, “serve più cooperazione tra i Paesi per gestire le crisi cibernetiche, più collaborazione con i privati per proteggere i settori industrali, con iniziative verticali e attenzione all’evoluzione delle tecnologie per avere una direttiva quasi a prova di futuro”. Per Corrado Giustozzi, membro del Cert-Agid in Italia e docente all’università La Sapienza di Roma, “nella Nis manca il riferimento al settore pubblico tra gli operatori di servizi essenziali, che pure è fondamentale per la vita di un paese”.
La sicurezza informatica è in cima all’agenda della Commissione Von Der Leyen, cui spetta aggiornare tutte le regole europee sul digitale, dall’ecommerce alla privacy, con le quali punta ad appianare le asimmetrie del mercato, contenere il primato dei campioni tecnologici di Stati Uniti e Cina e proteggere i cittadini e le piccole imprese. Sul fronte della cybersecurity, per esempio, Bruxelles ha avviato una trattativa per una gestione centrale delle crisi ed è pronta a dare più poteri a Enisa, che ha un budget di 21 milioni per il 2020 (destinato a raggiungere i 24 milioni entro due anni), l’anno scorso ha incassato il mandato ufficiale e sta lavorando a procedure specifiche per settori, come ferrovie ed energia. “Enisa dovrà avere più personale per gestire i nuovi compiti”, osserva Susanne Dehmel, del consiglio esecutivo di Bitkom, l’associazione tedesca del digitale.
Per Eugene Kaspersky, amministratore delegato dell’omonima azienda, l’emergenza coronavirus ha acuito i rischi informatici, con un aumento del 25% delle attività criminali online tra il primo e il secondo trimestre del 2020. “La tradizionale sicurezza informatica non è abbastanza – spiega Kaspersky – perché il costo dell’attacco è ancora più basso dei danni che provoca”. E secondo la società di consulenza Accenture alcune aziende ancora sottovalutano i rischi di non impostare da subito la sicurezza di tecnologie come 5G, Ai, quantum computing e realtà aumentata, nelle quali il 34% delle aziende intervistate (500 manager) ha investito oltre 500 milioni di dollari. Solo il 28% si muove in modo previdente, mentre le altre rischiano di essere esposte a nuovi rischi.
Per questo, conclude Kaspersky, “bisogna passare da un concetto di cybersecurity a uno di cyberimmunity, composta da sistemi flessibili e inattaccabili, contro i quali gli attaccanti debbano investire più di quanto perde l’attaccato”.
Leggi anche
Potrebbe interessarti anche
