Il 2015 potrebbe lasciare una traccia importante nella storia della sicurezza informatica. Quanto meno al livello delle policy internazionali di regolamentazione del settore.
Ѐ notizia di poche ore fa, infatti, che il Parlamento Europeo ha trovato l’accordo tra i 28 Paesi membri per l’eliminazione dell’attuale stato di frammentazione del comparto legislativo in tema di cyber security e il suo superamento nell’ambito di una nuova normativa generale continentale, la quale, nella forma di una direttiva che i singoli Stati dovranno implementare, fisserà un parametro condiviso di riferimento.
“I sistemi informatici sono oggetto di un numero sempre maggiore di incidenti legati alla sicurezza. Questi incidenti possono avere origini diverse, tra cui guasti tecnici, errori involontari, ma anche, sempre più spesso, attacchi dannosi. Quale che ne sia l’origine, è un fatto che tali disfunzioni turbano l’approvvigionamento di servizi essenziali, che tutti siamo abituati a dare per scontati, come l’elettricità, l’acqua, la sanità e i servizi di trasporto” si legge nella nota ufficiale licenziata dal Parlamento di Strasburgo.
Da qui l’urgenza di un riferimento legislativo che sia univoco per l’Unione Europea e che, nel tempo massimo dei 21 mesi previsti per ciascuno Stato membro affinché converta in legge nazionale una direttiva comunitaria, obbligherà i singoli Parlamenti a legiferare sui seguenti punti:
- Cyber security: agli Stati membri è richiesta l’adozione di una strategia NIS con obiettivi e policy e misure regolatorie sulla cybersecurity. Agli stati membri è altresì richiesto di identificare una autorità competente nazionale per la implementazione della direttiva, così come un Computer Security Incident Response Teams.
- Miglioramento della cooperazione internazionale mediante l’istituzione di un Cooperation Group tra Stati membri, al fine di sostenere e facilitare la cooperazione strategica e lo scambio di informazioni tra gli Stati membri. La direttiva creerà anche una rete di Computer Security Incident Response Team, noto come Rete CSIRT.
- Adozione obbligatoria da parte dei fornitori di servizi essenziali nei campi dell’energia, dei trasporti, delle banche e della Sanità di policy di cyber security di livello superiore.