L’ENISA (Agenzia dell’Unione europea per la cibersicurezza) ha pubblicato un documento esplicativo degli obblighi in materia di sicurezza delle reti e dei servizi previsti dal Codice, che dovrà essere recepito entro il 21 dicembre. Di qui in avanti, l’obiettivo sarà quello di collaborare con le autorità nazionali per garantire che le norme siano applicate in modo efficace, efficiente e armonizzato
Nel corso degli ultimi due lustri il mercato delle comunicazioni elettroniche ha subìto un cambiamento radicale, con lo spostamento del business sul livello cosiddetto over the top (OTT) in cui oggetto di scambio sono servizi e contenuti accessibili attraverso Internet (dalla messaggistica istantanea di WhatsApp e Telegram ai servizi di voice over IP di Skype o Viber).
Questi e altri servizi dell’economia digitale riposano sul funzionamento delle reti di comunicazione elettronica che costituiscono comunque una “superficie di attacco” critica, la cui sicurezza è dunque centrale per l’attività economica e per l’operatività di altri settori considerati essenziali per un paese (sanità, energia, trasporti, finanza).
Per questo, operatori del calibro di Google, Facebook, WeChat, Microsoft sono destinatari di obblighi di sicurezza previsti dal nuovo Codice europeo delle comunicazioni elettroniche che dovrà essere recepito negli ordinamenti degli Stati membri entro il 21 dicembre di quest’anno.
Il rapporto dell’Agenzia europea per la cybersecurity (ENISA), Security Supervision under the EECC, è il segnale che il conto alla rovescia per il recepimento del Codice europeo è iniziato, e che gli interlocutori interessati (Stati membri, autorità nazionali, operatori di reti e servizi di comunicazione elettronica), nell’ambito dei rispettivi ruoli, dovranno organizzarsi con riguardo all’applicazione delle regole in materia di sicurezza informatica previste dal Codice europeo.
In questo quadro, il documento dell’ENISA fornisce linee guida sull’adozione di misure preventive di protezione dalle minacce informatiche (ad esempio, la crittografia) al fine di evitare – o, quanto meno minimizzare nella portata – i casi di violazione della sicurezza.
Tra gli altri compiti, l’agenzia europea è chiamata a facilitare la collaborazione tra gli Stati membri nel settore della cybersecurity e lo scambio di informazioni al fine di uniformare le prassi sull’attuazione delle misure di sicurezza delle reti e dei servizi. Ma anche a collaborare con le autorità nazionali per garantire che le norme in materia di sicurezza delle reti e dei servizi siano implementate in modo efficace, efficiente e armonizzato, con il massimo vantaggio per gli utenti sia nell’accesso ai servizi sia nella protezione dei loro dati.
Il settore della cybersecurity è divenuto ormai strategico per la crescita dell’Unione europea alla luce della sempre più stretta dipendenza delle attività umane dalle tecnologie digitali che non sono invulnerabili, e che dunque vanno integrate – se non addirittura progettate – con misure tecniche e organizzative di sicurezza.