Usiamo i cookie per migliorare la tua esperienza di fruizione

Cliccando su qualsiasi link in questa pagina fornisci il tuo consenso all'uso dei cookie

Italian Chinese (Simplified) English French German Japanese Spanish
Mercoledì, 24 Ottobre 2018
L’ attuazione della direttiva NIS - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

L’ attuazione della direttiva NIS - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

 

OTTOBRE 2018

All’inizio dell’estate, precisamente il 26 giugno scorso, è entrato in vigore il Decreto Legislativo n. 65 del 18 maggio 2018, che ha finalmente dato attuazione in Italia alla Direttiva dell’Unione Europea 2016/1148, del 6 luglio 2016, sulla sicurezza delle reti e dei sistemi informativi, nota come Direttiva NIS (Network and Information Security). Nonostante la direttiva europea consenta ai Paesi membri di estenderne l’applicazione anche a settori diversi da quelli elencati nella direttiva stessa, il nostro Governo ha scelto di non avvalersi di questa possibilità, ma considerare nel D. Lgs solo quelli previsti dalla Direttiva. Ovvero energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali, nonché i servizi di e-commerce, dei motori di ricerca e di cloud computing. Gli obblighi in materia di sicurezza e di notifica che rientrano nell’ambito di applicazione del Decreto non sono stati estesi a tutte le pubbliche amministrazioni ma solo a quelle che offrono servizi nei settori menzionati e sono identificate come fornitori di servizi digitali (FSD) od operatori di servizi essenziali (OSE). Comunque, le pubbliche amministrazioni dovranno continuare a rispettare quanto previsto dalla Circolare AGID n. 2/2017, recante “Misure minime di sicurezza ICT per le pubbliche amministrazioni”.
Sulla base di quanto previsto dall’Art. 7 della Direttiva NIS, il D. Lgs. ha sancito l’adozione di una strategia nazionale di sicurezza cibernetica da parte della Presidenza del Consiglio dei Ministri (PCM), che dovrà stabilire le misure di risposta e di recupero dei servizi informatici dopo un incidente; contemporaneamente definire il piano di valutazione dei rischi informatici ed un programma di formazione in materia. Argomenti parzialmente già affrontati dall’attuale strategia di sicurezza cibernetica nazionale (Quadro strategico nazionale per la sicurezza dello spazio cibernetico, del 2013, e Piano nazionale per la protezione cibernetica e la sicurezza informatica, del 2017).
Le autorità competenti per l’attuazione della normativa NIS e per la vigilanza del suo rispetto saranno 5 Ministeri (sviluppo economico – per i settori energia, infrastrutture digitali e per i fornitori di servizi digitali; infrastrutture e trasporti per il settore trasporti; economia e finanze – per i settori bancario ed infrastrutture dei mercati finanziari, in collaborazione con la Banca d’Italia e la Consob; salute ed ambiente). Punto di contatto unico per il collegamento con Bruxelles e per il coordinamento con le autorità degli altri Stati membri sarà il DIS.
Spetta agli FSD ed agli OSE notificare gli incidenti di rilievo alle Autorità competenti ed al Computer Security Incident Response Team (CSIRT), che sarà istituito presso la PCM e assorbirà le attuali competenze del CERT nazionale (sito presso il MISE) e del CERT-PA (sito presso l’Agenzia per l’Italia digitale – AgID). Gli OSE dovranno essere identificati entro il 9 novembre 2018 dalle Autorità competenti sulla base dell’importanza del servizio fornito, della dipendenza da reti e sistemi informativi e della rilevanza sul servizio degli effetti di un incidente.
Sotto la stessa data dovrà essere emanato un DPCM che specifichi funzionamento ed organizzazione della nuova struttura NIS, i cui attori sono stati sintetizzati da Luca Tosoni, avvocato e ricercatore presso l’università di Oslo, nel seguente grafico:

NISDa ultimo, come rilevato da Corrado Giustozzi, esperto di sicurezza cibernetica presso l’AgID e l’ENISA, in un intervento su Formiche.net del 16 maggio scorso, la linea adottata dal legislatore europeo per la direttiva NIS è stata la stessa che ha usato per il nuovo Regolamento della Privacy, il GDPR. Non si tratta più di un approccio prescrittivo”, ha commentato, “con l’indicazione di cose precise da fare, ma si dà ai singoli Stati il compito di fare un’analisi del rischio, di scegliere le misure più idonee, per raggiungere gli obiettivi indicati, e addirittura di autodenunciarsi in caso di problemi”. Ciò indica “l’assegnazione di una grande responsabilità, che segna davvero la necessità di un nuova sensibilità culturale sul tema della cyber security”.

Alberto Traballesi

(Newletter AIIC n. 8 (2018))