Nuovi standard di sicurezza per pc e smartphone: la proposta della Presidenza tedesca

Un ingegnere controlla le mappe e le statistiche delle minacce informatiche dal vivo nel suo ufficio di Istanbul. EPA/ERDEM SAHIN

Euractiv.com ha potuto visionare il progetto di conclusioni del Consiglio Ue in materia di cybersicurezza. Il testo della Presidenza tedesca sostiene che si debba rafforzare la sicurezza informatica dei dispositivi connessi e sostiene la necessità di introdurre misure più solide per garantire che la rapida adozione di questi prodotti sia accompagnata da adeguate misure di sicurezza e di tutela della privacy.

“L’aumento dell’uso di prodotti di consumo e di dispositivi industriali connessi a Internet aumenterà anche i nuovi rischi per la privacy, l’informazione e la sicurezza informatica”, si legge nel documento.

“La sicurezza informatica e la privacy dovrebbero essere riconosciute come requisiti essenziali nell’innovazione di prodotto, nei processi di produzione e di sviluppo, compresa la fase di progettazione (security by design), e dovrebbero essere garantite anche durante l’intero ciclo di vita di un prodotto e lungo tutta la sua catena di fornitura”. Il testo della presidenza tedesca dell’Ue sui dispositivi collegati sarà discusso questo venerdì (6 novembre) nell’ambito del gruppo di lavoro orizzontale del Consiglio sulle questioni informatiche.

La questione si riferisce a tutti i dispositivi che sono in grado di connettersi tra loro e con altri sistemi via Internet: computer portatili, desktop, smartphone, tablet, ma anche orologi collegati e apparecchiature di automazione e controllo usati nelle case e nelle fabbriche. Sicurezza informatica e tutela della privacy sono sempre più importanti in una società in cui questi oggetti sono di uso comune e sono tendenzialmente sempre con noi.

Il problema della sicurezza informatica durante la pandemia

In mezzo alla pandemia di coronavirus, l’importanza di rafforzare gli standard di sicurezza informatica dell’Ue è diventata sempre più importante e ha acquisito centralità nell’agenda politica dell’Ue: il lavoro a distanza infatti è aumentato in modo esponenziale e un numero sempre maggiore di persone ha trascorso molto più tempo a casa utilizzando dispositivi connessi.

Un rapporto pubblicato di recente dall’agenzia europea per la sicurezza informatica Enisa ha specificato che la sicurezza informatica nell’Ue è stata messa a dura prova a causa della crisi sanitaria pubblica in corso.
In primo luogo “mentre lavoravano da casa, gli specialisti della sicurezza informatica hanno dovuto adattare le difese esistenti a un nuovo paradigma infrastrutturale, cercando di ridurre al minimo l’esposizione a una varietà di nuovi attacchi in cui i punti di ingresso sono le case dei dipendenti collegate a Internet e altri dispositivi intelligenti”, afferma il rapporto sulla valutazione delle minacce 2020.
In secondo luogo, proprio nel corso di questi mesi caratterizzati dalla diffusione del coronavirus, alcuni servizi sanitari, ospedali e istituti di ricerca sono stati oggetto di attacchi informatici da parte di agenti stranieri.

La presidente della Commissione europea Ursula von der Leyer aveva apertamente ammesso che dietro ad una serie di attacchi cibernetici contro gli ospedali in Europa durante l’epidemia di coronavirus poteva esserci la Cina. Gli attacchi hanno indotto l’esecutivo dell’Ue a presentare a luglio una nuova strategia di sicurezza dell’Ue, che comprendeva piani per rafforzare gli standard per la sicurezza informatica delle infrastrutture critiche europee.

La direttiva sulla sicurezza delle reti e dei sistemi di informazione

La direttiva sulla sicurezza delle reti e dei sistemi di informazione (la direttiva NIS) è stata adottata dal Parlamento europeo il 6 luglio 2016 ed è entrata in vigore nell’agosto 2016. Gli Stati membri dovevano recepire la direttiva nelle rispettive legislazioni nazionali entro il 9 maggio 2018. Lo scopo generale era quello di incrementare i sistemi di sicurezza informatica in tutti i settori che sono vitali per l’economia e la società e che inoltre dipendono fortemente dalle ICT, come l’energia, i trasporti, l’acqua, i sistemi bancari, le infrastrutture dei mercati finanziari, la sanità e naturalmente le infrastrutture digitali.

L’articolo 23 della direttiva prevede che la Commissione europea riesamini periodicamente il funzionamento della direttiva stessa, aggiornandola rispetto alle innovazioni tecnologiche e alle muove minacce. La Commissione aveva previsto di effettuare il riesame entro la fine del 2020 e si è appena chiusa la consultazione pubblica sul tema il 2 ottobre.

Il prossimo passaggio sarà la presentazione della revisione da parte dell’esecutivo della direttiva: il 15 dicembre i vicepresidenti della Commissione Margrethe Vestager e Margaritis Schinas presenteranno una proposta che stabilisca nuovi standard per le capacità di sicurezza informatica e introducano anche requisiti per la cooperazione transfrontaliera e la sorveglianza sugli operatori di servizi essenziali.