Article

Undici raccomandazioni per migliorare la resilienza cyber nell’Unione Europea

Deloitte risponde alla Consultazione Pubblica lanciata dall’Unione Europea per la Revisione della Direttiva NIS

Per rispondere all’invito della Commissione Europea alla revisione della Direttiva sulla sicurezza delle reti e dei sistemi informativi (Direttiva NIS), Deloitte ha presentato undici raccomandazioni. Deloitte ha proposto alla Commissione di intensificare gli sforzi per promuovere l'armonizzazione nel campo delle reti e dei sistemi informativi.

Gli obiettivi della Consultazione Pubblica

La Direttiva NIS rappresenta il primo atto legislativo dell'UE nel campo della cyber security. Sebbene l’implementazione della stessa sia molto recente, la Direttiva ha già contribuito a rafforzare la resilienza dell’Unione, migliorando la gestione delle risorse disponibili per far fronte alle minacce cyber, il livello di preparazione in risposta agli attacchi, la cooperazione tra paesi e tra diversi settori economici, lo scambio di informazioni sugli attacchi, e la consapevolezza riguardo alla gestione del rischio. Con la consultazione pubblica, la Commissione intende perseguire i seguenti obiettivi:

  1. Valutare se la sicurezza informatica sia migliorata nell'UE
  2. Identificare sfide attuali e future
  3. Valutare l'efficacia della Direttiva NIS

La proposta di Deloitte

L’impatto della Direttiva sul mercato unico digitale dovrebbe costituire la base della prima revisione della Direttiva da parte della Commissione. Prima di procedere a una valutazione dei cambiamenti introdotti da questo strumento normativo, è importante tenere a mente tre elementi caratterizzanti l’implementazione di questo strumento normativo. Innanzitutto, la Direttiva NIS è entrata in vigore soltanto a maggio del 2018: troppo presto per misurarne l’impatto e il reale valore strategico. La maggior parte degli Stati membri ha attuato le misure richieste dalle sue disposizioni solo di recente. In secondo luogo, ad oggi gli Stati europei hanno condiviso informazioni limitate e frammentate sull’attuazione della direttiva. Infine, la crisi COVID-19 ha accelerato la digitalizzazione, aumentando la crescente digitalizzazione dei servizi essenziali e dimostrandosi un catalizzatore per il crimine informatico di tutto il mondo. Di conseguenza, è diventato ancora più importante aggiornare gli strumenti normativi con regolarità.

Le nostre undici raccomandazioni

In questo contesto di revisione della direttiva e, sfruttando l’esperienza e la presenza geografica della sua rete di professionisti attivi in tutti i paesi europei, Deloitte ha formulato undici raccomandazioni per sostenere la Commissione Europea.

Adottare un approccio fondato sul rischio

  • Adottare un approccio fondato sulla gestione del rischio per far fronte alle vulnerabilità informatiche, anziché eseguire un semplice esercizio di compliance
  • Sensibilizzare i Consigli di Amministrazione all'importanza della gestione del rischio cyber a livello aziendale

Promuovere maggiore armonizzazione

  • Promuovere maggiore armonizzazione relativamente alle tre aree principali della Direttiva: identificazione degli Operatori di Servizi Essenziali (OSE), identificazione dei requisiti di sicurezza, e condivisione di informazioni tra attori privati e pubblici
  • Sviluppare una procedura comune e armonizzata per la segnalazione degli incidenti informatici, semplificando i requisiti normativi in ogni settore

Ridefinire l’ambito settoriale

  • Raccogliere ulteriori informazioni sull'impatto della Direttiva nei settori già inclusi e classificarne la criticità attraverso un approccio fondato sul rischio
  • Estendere i settori essenziali identificati dalla Direttiva NIS solo nel caso in cui gli Operatori di Servizi Essenziali appartenenti a tale settore siano presenti in tutti gli Stati membri

Includere le terze parti

  • Includere i Servizi di Sicurezza Gestiti (MSS) tra i Fornitori di Servizi Digitali identificati dalla Direttiva NIS

Rafforzare le strategie cyber nazionali

  • Chiarire le responsabilità e i ruoli identificati all'interno del quadro di governance dei governi nazionali sulla sicurezza informatica per evitare conflitti di attribuzione tra le diverse istituzioni
  • Assegnare ai CERT le competenze necessarie per guidare gli altri attori interessati nella risposta agli incidenti cyber e sviluppare attività di threat intelligence

Aumentare la cooperazione a livello europeo

  • Assegnare più competenze e risorse a ENISA per facilitare la condivisione delle best practice necessarie ad affrontare le minacce cyber
  • Garantire che il Gruppo di Cooperazione sulla NIS, attivo a livello europeo, promuova la condivisione delle informazioni tra Operatori di Servizi Essenziali, Fornitori di Servizi Digitali, e le autorità nazionali, agendo come punto di contatto strategico in ambito cyber
L'hai trovato interessante?