“Non c’è vera libertà senza sicurezza”, secondo Neelie Kroes, commissario europeo incaricato per le nuove tecnologie. La frase è servita per riassumere la filosofia che ha ispirato la nuova strategia continentale in materia di cyber sicurezza. L’Unione Europea mira a costruire al proprio interno un cyberspazio aperto e sicuro, fissando cinque priorità per arrivarci: ottenere la cyber-resilienza, far arretrare considerevolmente la cyber-criminalità, sviluppare una politica e messi di protezione legati alla politica di sicurezza  e di difesa comune, sviluppare le risorse industriali e tecnologiche in materia di cyber sicurezza e instaurare una politica internazionale coerente con i valori essenziali dell’Ue.
Per raggiungere questi obiettivi, L’Unione vuole proporre una direttiva sulla sicurezza delle reti e dell’informazione, destinata a coinvolgere tanto gli stati membri quanto i facilitatori di servizi Internet chiave e coloro che propongono infrastrutture critiche, come le piattaforme per il commercio elettronico e i social network, così come gli attori economici di settori come l’energia, i trasporti, i servizi bancari e la sanità. Tutti costoro andranno convinti a garantire un ambiente digitale che offra livelli di sicurezza e affidabilità comuni per tutta la Ue.
A tale scopo, gli stati membri dovranno designare delle autorità competenti a livello nazionale e investire le risorse umane e finanziarie sufficiente a permettere gli interventi necessari. Un’infrastruttura sicura fra Stati e Commissione dovrebbe essere costruita per facilitare la cooperazione e accelerare la trasmissione degli allarmi. Le aziende private saranno tenute a segnalare gli incidenti di sicurezza più significativi per i propri servizi essenziali e ad adottare politiche in materia di gestione del rischio.
I termini della direttiva sono però molto fluidi, soprattutto in riferimento agli obblighi già esistenti e nessuna data è stata indicata per l’effettiva adozione. Si prevede comunque una reazione poco positiva soprattutto da parte dei service provider, obbligati a dichiarare tutti gli incidenti di sicurezza: un’informazione delicata per realtà come le istituzioni finanziarie, che devono già fare rapporto alle autorità ufficiali di regolamentazione.