Un nuovo studio condotto da accademici del Cloud Legal Project presso la Queen Mary University di Londra ha scoperto che gli attuali standard di sicurezza informatica fissati dall'Unione Europea, nota come Direttiva NIS, non andare abbastanza lontano e potrebbe essere potenzialmente indebolito.

Il Regolamento NIS 2018, che attuano la direttiva NIS nel Regno Unito, mirano a garantire che gli operatori dei servizi essenziali siano protetti da interruzioni, imponendo loro di adottare misure "adeguate e proporzionate" in materia di sicurezza informatica.

La conformità è soggettiva

La ricerca, che si è concentrato su aeroporti come Heathrow e compagnie aeree come British Airways, accertato che per conformarsi al regolamento, gli operatori del servizio devono identificare, valutare, e quindi affrontare i rischi informatici che devono affrontare. Però, tale gestione del rischio comporta inevitabilmente un livello di giudizio soggettivo e compromessi.

Secondo i ricercatori, i requisiti della direttiva sono troppo vaghi e suscettibili di interpretazione, il che significa che alcuni aeroporti e compagnie aeree possono mettere in atto solo quelle misure di sicurezza che considerano nei propri interessi commerciali. I fornitori di servizi potrebbero persino abusare della loro discrezione impegnandosi nella "conformità cartacea" - creando molta documentazione di sicurezza per mostrare alle autorità di regolamentazione, senza cambiare significativamente il loro approccio, anteponendo efficacemente i profitti alla sicurezza informatica.

I requisiti vaghi sono difficili da misurare

La ricerca ha anche scoperto che la natura vaga della direttiva NIS può rendere difficile per i regolatori, come l'Ente per l'aviazione civile, per controllare in modo efficace se i requisiti di sicurezza sono soddisfatti o meno. Lo studio arriva dopo diversi problemi informatici di alto profilo nel settore delle compagnie aeree.

Dave Michels, Ricercatore presso il Queen Mary's Center for Commercial Law Studies, e il coautore del documento ha affermato:"I regolatori dovranno monitorare attentamente gli aeroporti e le compagnie aeree e sfidare i loro approcci se necessario. Ciò richiederà loro di assumere esperti di sicurezza informatica per farlo in modo efficace".

Ian Walden, Il professore di diritto dell'informazione e delle comunicazioni e coautore dello studio ha aggiunto:"La Brexit potrebbe complicare ulteriormente le cose a causa dell'uscita del Regno Unito dall'Agenzia europea per la sicurezza informatica, che svolge un ruolo importante fornendo linee guida per la conformità e condividendo le migliori pratiche".