La consapevolezza è una costruzione, quotidiana e faticosa, del nostro modo di approcciarci alle cose che ci circondano, in modo critico e responsabile, per poter arrivare ad un agire comune e condiviso.
Un tipo di consapevolezza, definita del rischio, che non dobbiamo pensare ci renda meno liberi, ma semplicemente più accorti, è quella che viene richiesta dall’aggiornamento della Direttiva NIS, ribattezzata nella nuova versione NIS 2.0.
Cos’è la NIS
La NIS (acronimo di Network and Information Security) è una Direttiva europea approvata nel 2016 che impone, a tutti gli Stati che fanno parte dell’Unione, l’adozione di alcune misure comuni e strategiche per la sicurezza delle reti e dei sistemi informatici.
Nel nostro Paese, la Direttiva è stata recepita dal Decreto Legislativo del 18 maggio 2018 (entrato poi in vigore il 24 giugno dello stesso anno) e ha previsto l’implementazione di una strategia nazionale di sicurezza informatica.
La Direttiva NIS si rivolge a due tipologie di operatori:
1. I soggetti, pubblici o privati, che forniscono i cosiddetti servizi “essenziali” per la società e l’economia (definiti “Operatori di Servizi Essenziali” - OES): dal settore sanitario, alla distribuzione di acqua potabile fino alle infrastrutture digitali;
2. I Fornitori di Servizi Digitali (FSD), cioè le persone giuridiche che forniscono servizi di e-commerce, cloud computing e motori di ricerca.
A queste due tipologie di operatori, considerati soggetti importanti per i servizi che offrono, la NIS impone obblighi precisi, tra i quali:
Progettazione di misure tecniche per la gestione dei rischi.
Prevenzione rispetto ad eventuali incidenti che violano la sicurezza delle reti informatiche.
Contenimento dei danni e garanzia della continuità dei servizi agli utenti.
Notifica degli incidenti di sicurezza che impattano sulla continuità e sulla fornitura dei servizi.
NIS 2.0, un upgrade necessario
Nonostante la prima Direttiva NIS rappresenti un forte baluardo, che si costituisce di norme per la cyber sicurezza, nel corso di questi anni sono emersi dei limiti. Alcuni di questi sono un’applicazione irregolare della norma in certi Stati membri e una lacuna profonda, come la mancata condivisione di informazioni per affrontare, in modo congiunto, la crisi. Ad oggi perciò, il tema della sicurezza informatica è di un’importanza tale che non si può più eludere e di cui si deve necessariamente discutere.
Anche la pandemia di Covid-19 ha avuto un ruolo determinante per far accrescere tale consapevolezza:
“La pandemia Covid-19, inoltre, ha imposto cambiamenti così repentini nel panorama tecnologico da indebolire le misure di sicurezza informatica esistenti; i cyber-criminali hanno sfruttato la situazione di disagio collettivo, nonché di estrema difficoltà vissuta da alcuni settori – come quello della produzione dei presidi di sicurezza e della ricerca sanitaria – per colpire le proprie vittime con vettori di attacco personalizzati.”
(Brighi R., Chiara P.G., La cybersecurity come bene pubblico: alcune riflessioni normative a partire dai recenti sviluppi nel diritto dell’Unione Europea, 2021)
Ecco perché, si è reso necessario un aggiornamento della Direttiva, un dovuto innalzamento del livello di prevenzione, che impone alle aziende un obiettivo di sicurezza conforme al proprio livello di importanza.
Ma, cosa cambia effettivamente per il mercato?
La responsabilità sarà distribuita. L’intera supply chain, considerando ciascun attore della catena, sarà responsabile in caso di incidenti e malfunzionamenti;
Le linee guida avranno un impatto su tutto il mercato attraverso un netto innalzamento della competenza e della consapevolezza.
Tale consapevolezza dovrà quindi essere imprescindibile. La connettività è sì parte integrante della nostra quotidianità, ma fin quando non si maturerà profondamente che a essa sono associati diritti, ma soprattutto doveri, rischi più grandi e improvvisi saranno pronti a coglierci impreparati.