Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

CYBER SECURITY

La nuova direttiva UE su Cyber Security: pro e contro

di Andrea Rigoni, Intelliumgroup

23 Ott 2014

23 ottobre 2014

La direttiva alle battute finali. In discussione in queste ore si sta discutendo di alleggerire gli obblighi per gli operatori, con il rischio è di avere un ennesimo intervento normativo inutile, in un’area sempre più delicata

La direttiva NIS sta giungendo alle battute finali e proprio in questi giorni i Ministri degli Stati Membri, la Commissione Europea  e gli europarlamentari si sono incontrati per la prima volta per discuterne alcuni aspetti considerati spinosi. 

La prima questione oggetto di forte dibattito è l’inclusione o meno dei cosiddetti “enablers of information society services”, quelli che spesso vengono anche definiti OTT o Over the Top operators: per capirci, aziende del calibro di Google, Facebook, Apple, ecc. Sebbene il testo originale della direttiva includesse anche questi operatori, il parlamento ha ritenuto opportuno escluderli, restringendo l’obbligo di notifica di incidenti gravi solo agli operatori infrastrutturali o a quegli operatori che servono infrastrutture critiche. 

In caso di incidente grave che possa minare la continuità di servizi critici, l’operatore è obbligato a notificare la propria autorità nazionale designata. Da quanto emerge dall’incontro di questa settimana, sembra che gli Stati Membri stiano annacquando ulteriormente la direttiva, escludendo la possibilità che le notifiche raccolte a livello nazionale vengano poi fatte circolare a livello di comunità europea. 

Questi passi indietro indeboliscono ulteriormente una direttiva già poco solida fin dalla sua origine. Si sta ripetendo ciò che è accaduto nel 2008 con la Direttiva 2008/114/EC del’8 Dicembre 2008 per “l’Identificazione e designazione delle Infrastrutture Critiche Europee e valutazione della necessità di migliorarne la protezione” (recepita con il D.Lgs 61/2011): una iniziativa del tutto cosmetica che ha solo generato convegni e dibattiti, portando a poche iniziative concrete.

C’è un problema di fondo: i temi di sicurezza globale, come la Cyber Security, mal si sposano con il principio di sussidiarietà dell’Unione Europea. Non è un caso che l’Unione Europea non disponga di una forza di polizia unica, di un servizio di intelligence unico, di un sistema di difesa unico. Sebbene alcuni di questi domini della sicurezza richiedano sempre di più un approccio coordinato, la Cyber Security per sua natura non può essere affrontata singolarmente. I motivi sono tanti e stranoti: si tratta di una infrastruttura globale, fortemente interconnessa, i cui attori chiave sono globali. L’approccio Nazionale è fallimentare e può condurre a derive pericolose, tra le quali la cosiddetta “balcanizzazione” di Internet. E ci sono già ipotesi a livello di alcuni Stati Membri per “nazionalizzare” alcuni servizi critici. 

L’unico vero effetto dalla direttiva sarà una sensibilizzazione di quei paesi che ancora non hanno iniziato ad indirizzare seriamente il tema della Cyber Security. Ma quanti sono? Pochi, molto pochi. E non è il caso dell’Italia, che negli ultimi anni ha prestato crescente attenzione al tema, definendo un modello di governance e avviando alcuni cantieri importanti come il Piano Nazionale, il CERT Nazionale, il CERT-PA e continuando a sviluppare capacità chiave come il CNAIPIC presso la Polizia Postale e delle Comunicazioni.

Un altro esempio degli effetti negativi del principio di sussidiarietà applicato alla sicurezza è dato dal recentissimo regolamento eIDAS (electronic identification and trust services). Il regolamento tratta il tema delle Identità Digitali e dei cosiddetti servizi fiduciari, ma sulle Identità adotta il principio di sussidiarietà riconoscendo di fatto tutti i sistemi che sono stati o che saranno sviluppati dagli Stati Membri. Una babele! Nel 2008 ebbi l’opportunità di sottoporre il tema al Parlamento Europeo insieme ad Andrea Servida della Commissione Europea (poi diventato capo della Task Force eIDAS): entrambi proponevamo un intervento comunitario integrato sull’Identità Digitale, in modo da poter avere un unico sistema interoperabile e forte nei confronti dei grandi operatori internazionali. Poco dopo, il parlamento avviava i lavori di eIDAS, escludendo però il tema dell’Identità Digitale e ricollegandolo al tema delle Carte d’Identità. Fu un doppio errore: Identità Digitali sono cose ben diverse dalle carte d’identità elettroniche (paesi come il Regno Unito hanno un sistema di Identità Digitale, ma non di carta d’identità!) e ora abbiamo una situazione in Europa talmente variegata da renderne l’interoperabilità tecnicamente possibile, ma praticamente inattuabile. 

Ci sono anche esempio nell’ambito sicurezza dove invece si è deciso di lavorare a regole e approcci comuni, pur rispettando l’indipendenza degli stati membri; ne cito due: 1) la sicurezza del sistema elettrico europeo, regolato dal 1951 al 2009 dall’UCTE Union for the coordination of transmission of Energy, una associazione che ha definito regole comuni per la sicurezza e l’affidabilità della rete elettrica europea; 2) la sicurezza del controllo di volo, regolata in Europa da Eurocontrol, che emana policy e regole comuni per tutti gli operatori del controllo di volo in Europa. 

C’è quindi da augurarsi che la nuova Commissione e il nuovo parlamento europeo prendano coraggio su questi temi e lavorino per far comprendere agli stati membri che senza unità, non c’è modo di migliorare la sicurezza di Internet. 

  • Maurizio Dal Re

    Caro Andrea,

    sicuramente la cybersecurity è un problema globale ma, prima di poter essere affrontato come tale, ha bisogno di policy, infrastrutture e capability nazionali che permettano poi di partecipare e di collaborare alla pari nel consesso internazionale…e l’Italia, in questo, è un assoluto fanalino di coda, anche per i vari CERT* qui citati e per altri non citati…vita vissuta.

    Al di là di questo, più che l’unità (che è un ben più grande e generale problema europeo), credo che sarebbe già un bel passo avanti avere un info-sharing adeguato, una sorte di Cyber Schengen.

    Maurizio Dal Re

  • Andrea Servida

    Penso sia importante fare qualche precisazione su quanto detto a proposito del Regolamento eIDAS (UE n. 910/2014).

    Per quanto riguarda l’identità, il principio di sussidiarietà è in realtà un punto di forza del Regolamento eIDAS, in quanto ha reso possibile il superamento di tutte le diversità culturali, legali e giuridiche esistenti a livello europeo, in relazione alle definizioni d’identità e d’identità digitale. Il Regolamento eIDAS, infatti, non mira ad armonizzare l’identità digitale a livello Europeo, ma definisce le condizioni minime per il riconoscimento trans frontaliero delle credenziali digitali d’identificazione ed autenticazione utilizzate a livello nazionale per accedere (almeno) a servizi pubblici on-line. Inoltre, queste credenziali non sono, contrariamente a quanto detto nell’articolo, necessariamente associate a Carte d’Identità elettroniche.

    Questo aspetto è estremamente importante in quanto il Regolamento eIDAS si basa su tre pilastri: i) la varietà di credenziali digitali esistenti negli paesi dell’UE (e.g. carte d’identità elettroniche, carte dei cittadini, carte bancarie, etc.); ii) la necessità ancorare il riconoscimento legale di credenziali solo su criteri ben definiti di “assurance”; iii) la possibilità di garantire interoperabilità e sicurezza tra sistemi d’identificazione elettronica diversi tra loro, come dimostrato operativamente nel STORK co-finanziato dalla Commissione Europea.

Articoli correlati