Approvata nel 2016 dopo due anni di gestazione, la Direttiva NIS è una delle normative-pilastro di stampo comunitario nella protezione dei dati.
Si può definire "complementare" al GDPR, e mentre quest'ultimo è il regolamento a protezione dei dati personali, la Direttiva NIS si occupa di una serie di aspetti che riguardano le reti e i sistemi connessi delle organizzazioni che operano in settori critici o che forniscono servizi essenziali o digitali all'interno dell'Unione. Nello specifico, la direttiva individua due destinatari principali, e cioè gli Operatori di Servizi Essenziali (OSE) e i Fornitori di Servizi Digitali (FSD).
Inizialmente, una prima revisione della direttiva era prevista per maggio del 2021, a cinque anni dall'emanazione, ma complici le esigenze sopraggiunte e le falle portate alla luce dalla pandemia, i lavori sono già iniziati.
Sicuramente, un ruolo fondamentale nell'accelerazione di questo processo, l'ha avuta la sentenza che ha invalidato il Privacy Shield, nota come "Schrems II": in mancanza di una base giuridica per il trasferimento dei dati sui server statunitensi è emersa la necessità di appoggiarsi alla sicurezza di un Cloud europeo. In questo senso, è probabile che un ruolo centrale nella nuova Direttiva NIS, se ultimato in tempo, potrà spettare a Gaia X, il data-center europeo finalizzato alla creazione di un Cloud indipendente.
Un altro stimolo all'anticipazione della revisione della direttiva è dato dalla diffusione delle reti 5G. Seppur avvenuto a rilento rispetto alle aspettative, complice lo scontro tra Cina e USA per le architetture della rete, si tratta di un settore "scoperto" dalla protezione della Direttiva NIS, ma allo stesso tempo in possesso di tutti i requisiti per rientrarvi.
L'European Network and Information Security Agency (ENISA), che dalla Direttiva NIS ha di fatto avuto origine, ha ravvisato poi un problema centrale: l'obiettivo dichiarato dalla direttiva era quello di favorire ed innalzare un livello di sicurezza comune tra tutti gli stati membri, ma il risultato di questi primi cinque anni è stato quello di un forte disallineamento tra i vari paesi.
Per essere efficace, quindi, la revisione della Direttiva NIS dovrà ridurre la frammentazione tra gli Stati, favorendo un livello di cybersecurity che sia realmente "comune" in tutti i paesi dell'Unione. Affinché ciò sia possibile, è indispensabile che sia più precisa l'individuazione dei settori e dei soggetti inclusi, e degli obblighi derivanti per le aziende coinvolte. Per evitare che coinvolgendo più organizzazioni le autorità di controllo siano sommerse dalle notifiche, è allo studio una "notifica leggera", per poter distinguere le varie richieste su diversi livelli di priorità.
In Italia è molto probabile che vi sia una sovrapposizione tra alcune organizzazioni individuate dalla "nuova NIS" e dai prossimi DPCM in materia di "Perimetro Nazionale di Sicurezza Cibernetica", così come avviene tutt'ora tra la Direttiva NIS e la Direttiva per le Infrastrutture Critiche: la sovrapposizione normativa, quando avviene tra fonti appartenenti ad ordinamenti diversi, deve essere evitata per non creare inutili rallentamenti interpretativi, e per facilitare l'applicazione delle disposizioni previste. Anche questo deve essere considerato un obiettivo del processo di revisione della Direttiva NIS.
Le nuove esigenze emerse durante la pandemia hanno dato la spinta, forse decisiva, per anticipare l'inizio dei lavori di revisione: la necessità di digitalizzare molte imprese, l'aumento degli acquisti online e la volontà, come accennato, di limitare il primato americano nella diffusione di strumenti e sistemi a supporto dello smartworking hanno inciso al punto da anticipare la revisione.
Non potendo prevedere come verrà modificata nel merito la direttiva, è lecito immaginare che a coordinare tutte le operazioni sarà l'ENISA, che otterrà quindi maggiori poteri, dopo che il Cybersecurity Act del 2019 ne ha praticamente reso permanente il mandato.
Un elemento già emerso dalle prime fasi della revisione però è il concetto di "cyberimmunity", e cioè l'intenzione di rendere l'organizzazione un inespugnabile fortino, distribuendo i dispositivi e le loro connessioni secondo i principi di "security by design". La creazione, ad esempio, di compartimenti sempre più ridotti, la cui connessione deve necessariamente passare da barriere molto sicure, impedisce di dover sospendere l'intera attività aziendale in caso di incidente, ma consentirebbe di isolare immediatamente il compartimento compromesso salvaguardando tutti gli altri, e garantendo continuità nell'erogazione di servizi.
Photo by Olav Ahrens Røtne on Unsplash