Direttiva NIS 2, le raccomandazioni dell'EDPS: focus su crittografia end-to-end e cooperazione tra autorità - Cyber Security 360

L'approfondimento

Direttiva NIS 2, le raccomandazioni dell’EDPS: focus su crittografia end-to-end e cooperazione tra autorità

Il parere dell’EDPS, il Garante privacy europeo, è sostanzialmente positivo nei confronti della proposta di aggiornamento della Direttiva NIS avanzata dalla Commissione europea: tuttavia, l’autorità ha evidenziato la necessità di alcune modifiche che potrebbero essere incluse nel testo finale

15 Mar 2021
T
Luca Tosoni

Avvocato e ricercatore presso l'Università di Oslo

È complessivamente positivo il parere del Garante della privacy europeo (EDPS) sulla proposta di aggiornamento della Direttiva NIS presentata dalla Commissione europea lo scorso dicembre: tuttavia l’autorità raccomanda, tra le altre cose, di assicurarsi che la nuova Direttiva non indebolisca in alcun modo la crittografia end-to-end e che venga prevista una maggiore collaborazione tra le autorità NIS e le autorità garanti della privacy.

I rilievi espressi dall’EDPS non sono vincolanti, ma con tutta probabilità verranno presi in seria considerazione durante l’iter legislativo in seno al Consiglio e al Parlamento europeo. È quindi possibile che alcune delle modifiche proposte dal Garante europeo vengano incorporate nel testo della Direttiva prima della sua definitiva adozione.

L’opinione sulla proposta di revisione della Direttiva NIS (detta anche Direttiva NIS 2) arriva dopo che l’autorità è stata chiamata ad esprimersi: la Commissione europea è tenuta a consultare l’EDPS ogni volta che pubblica una proposta legislativa che potrebbe avere un impatto sulla privacy dei cittadini europei.

Proposta di Direttiva NIS 2: analisi delle nuove misure di cyber sicurezza europee

I rilievi dell’EDPS sulla Direttiva NIS 2

Pur apprezzando nel complesso il testo e gli obbiettivi della proposta di Direttiva NIS 2, il Garante europeo ha suggerito alcune modifiche. Le principali sono le seguenti:

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Crittografia end-to-end

Secondo l’EDPS, nel testo della Direttiva andrebbe chiarito che nessuno dei requisiti da questa imposti possa giustificare l’adozione di misure che indeboliscano la crittografia end-to-end tramite “backdoor” o simili soluzioni. A detta dell’EDPS, tale chiarimento sarebbe necessario alla luce del fatto che l’attuale considerando 54 della proposta di Direttiva NIS 2 prevede che l’uso della crittografia end-to-end vada riconciliato con le esigenze investigative delle autorità di pubblica sicurezza, e potrebbe quindi essere interpretato come una giustificazione all’introduzione di soluzioni tecnologiche che indeboliscano la crittografia end-to-end per facilitare le attività di indagine. Si tratta di un timore in parte giustificato, soprattutto alla luce delle proposte in materia di crittografia end-to-end recentemente avanzate dai governi della cosiddetta alleanza Five Eyes.

Rapporto con la normativa europea sulla protezione dei dati personali

L’EDPS ritiene che sarebbe opportuno indicare in maniera esplicita che l’adozione della Direttiva NIS 2 lascia impregiudicata l’attuale normativa europea sulla protezione dei dati personali (GDPR e Direttiva ePrivacy in primis), e non altera in alcun modo i compiti e i poteri da questa attribuititi alle autorità garanti della privacy. Attualmente, l’articolo 2 della proposta di Direttiva NIS 2 specifica che la stessa “si applica senza pregiudizio” di una serie di direttive europee, ma tra queste non menziona il GDPR e la Direttiva ePrivacy.

Cooperazione tra le autorità NIS e le autorità garanti della privacy

Secondo l’EDPS, al Comitato europeo per la protezione dei dati (EDPB) andrebbe attribuito un ruolo chiave nello sviluppo di policy e linee guida in materia di cybersecurity, ad esempio prevedendo un obbligo per l’Agenzia europea per la cibersicurezza (ENISA) di consultare l’EDPB nel contesto della stesura di linee guida in materia di cybersecurity o imponendo la partecipazione di un rappresentante dell’EDPB agli incontri del cosiddetto Gruppo di Cooperazione NIS. Ciò al fine di garantire una maggiore coerenza tra l’applicazione della normativa sulla privacy e quella sulla cybersecurity.

Andrebbe poi resa più sistematica la cooperazione tra le autorità NIS e le autorità garanti della privacy nei vari Stati membri.

Maggiore integrazione dei principi cardine in materia di privacy nel testo della Direttiva

L’EDPS suggerisce poi di fare espresso riferimento ad alcuni principi chiave del GDPR, quale quello della data protection by design and by default, all’interno della Direttiva NIS 2 in modo da garantire migliori sinergie e complementarietà tra i due quadri normativi, e per assicurarsi che gli operatori non trascurino di garantire il rispetto della privacy quando sviluppano le proprie policy in materia di cybersecurity o quando scelgono i propri fornitori di servizi legati alla sicurezza informatica.

Estensione dell’ambito di applicazione della Direttiva anche alle istituzioni europee

L’attuale Direttiva NIS non si applica alle istituzioni europee e la proposta di Direttiva NIS 2 non prevede alcuna modifica sul punto. L’EDPS ha invece rilevato come, al fine di garantire un livello di protezione uniforme all’interno dell’Unione europea, sarebbe opportuno estendere l’ambito di applicazione della Direttiva anche alle istituzioni europee.

Direttiva NIS 2, quanto manca all’adozione

L’iter di approvazione della Direttiva NIS 2 è già partito. Il testo della proposta di Direttiva NIS 2 è all’esame della Commissione per l’industria, la ricerca e l’energia (ITRE) del Parlamento europeo, la quale avrà un ruolo chiave nella prima fase dell’iter legislativo. È possibile che alcune delle raccomandazioni formulate dall’EDPS vengano raccolte dalla Commissione ITRE, la quale potrebbe suggerire degli emendamenti al testo della Direttiva in linea con le raccomandazioni del Garante europeo. L’iter legislativo è però ancora lungo e non è ancora chiaro quale sia la posizione dei vari stakeholder, in particolare quella dei governi degli Stati Membri, sul testo presentato dalla Commissione (e sulle modifiche suggerite dall’EDPS).

@RIPRODUZIONE RISERVATA

Articolo 1 di 4