Nuove norme europee sulla cyber security, le aziende devono segnalare gli attacchi
Il 2015 è stato l'anno in cui si sono registrati diversi, ed eclatanti, casi di violazione di dati aziendali da parte di cyber criminali. Basti citare solo il caso della Sony oppure il caso di Hacking Team, due esempi di quanto sia pericoloso oggi per le aziende l'aumento del fenomeno e, soprattutto, la mancata adozione di misure adeguate per difendersi. Parlando di Europa, l'Agenzia Europea per la Sicurezza Informatica (Enisa), ha stimato che violazioni aziendali dei dati da in seguito ad attacchi hacker causano ogni anno perdite comprese fra i 260 e i 340 miliardi di euro. E di fronte a questa situazione è intervenuto anche il Parlamento Europeo.
Le nuove norme europee per la cyber security
La Commissione Mercato interno del Parlamento europeo ha approvato di recente, con 34 voti a favore e 2 soli contrari, le nuove norme in materia di sicurezza informatica, sulle quali il 7 dicembre era già stato raggiunto un accordo informale tra Parlamento, Consiglio e Commissione. Secondo queste nuove norme, le aziende che forniscono servizi indispensabili e operano nei settori bancario, energetico, dei trasporti e della sanità dovranno migliorare la proprie capacità di resistere ai cyber attacchi.
Aziende come eBay o Amazon, quindi aziende del settore e-commerce, oppure aziende come Google, i motori di ricerca o aziende che offrono servizi in cloud, hanno l'obbligo di adattarsi alle nuove regole europee sulla cyber security. L'obbligo è quello di sorvegliare le proprie infrastrutture e segnalare agli Stati membri tutti gli incidenti gravi subiti. Le uniche aziende ad essere escluse dall'applicazione della direttiva saranno le micro e piccole imprese informatiche. E' la prima volta che in Europa vengono approvate norme di questo tipo contro gli attacchi informatici.
I tempi di approvazione delle norme sulla cyber security
Ora il testo dovrà essere approvato in via formale dal Consiglio Ue e dal Parlamento, poi gli Stati membri avranno 21 mesi di tempo per recepire la direttiva nelle rispettive legislazioni nazionali e altri sei mesi supplementari per identificare gli operatori considerati "fornitori di servizi essenziali".
Il Congresso Usa sta prendendo in considerazione misure analoghe, salvo aver fallito diverse volte proprio nel tentativo di far passare norme che regolino uno standard si sicurezza a livello nazionale e sulla comunicazione al governo da parte delle aziende in caso di attacchi hacker. In questo, secondo le norme varate, l'Europa fa un passo avanti rispetto agli Usa.