Dopo il GDPR arriva la Direttiva NIS: le aziende sono pronte?

Dopo il GDPR arriva la Direttiva NIS: le aziende sono pronte?

Il rapido sviluppo delle tecnologie informatiche e il loro uso di massa, ha portato le autorità europee a lavorare già da tempo sulla regolamentazione della Cyber-security.

Il 6 luglio 2016 la commissione europea ha adottato la Direttiva Nis (Network and Information Security), una delle prime normative del pacchetto di misure inerenti alla sicurezza delle reti e dei sistemi informativi che l’Europa sta realizzando. In Italia è entrato in vigore dal 24 giugno, il DPCM di recepimento della Direttiva, che dà ufficialmente il via alla fase operativa.

Come per il nuovo Regolamento Privacy, il GDPR si dà ai singoli Stati il compito di fare un’analisi del rischio, di scegliere le misure più idonee per raggiungere gli obiettivi indicati, e addirittura di autodenunciarsi in caso di problemi. Questa grande responsabilità, condivisa a livello europeo, mette in evidenza la necessità di costruire una nuova sensibilità culturale intorno al tema della Cyber security.

Ma quali sono i punti centrali della direttiva?

L’identificazione degli OSE e i loro obblighi

La direttiva impone agli stati membri l’identificazione degli OSE e assegna a quest’ultimi, degli obblighi in termini di cooperazione pubblico-privato e di adozione di misure di sicurezza e di notifica degli incidenti con impatto rilevante.

Gli OSE (operativi di servizi essenziali), per i non addetti ai lavori, sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, energetico, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali.

 

La direttiva riguarda anche gli FSD (fornitori di servizi digitali), persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, che oltre ad attuare le misure già previste dal NIS per gli OSE, saranno tenuti ad adottare misure specifiche come ad esempio la sicurezza dei sistemi e degli impianti, la gestione della continuità operativa, il monitoraggio, test e la conformità a norme internazionali.

Si presenta quindi la necessità di progettare nuovi processi e armonizzarli con quanto già esistente all’interno delle società coinvolte dalla nuova direttiva.

La nomina di nuovi organi di vigilanza

Per garantire una maggiore efficacia nelle attività di monitoraggio e comunicazione, la notifica di incidenti rilevanti sui servizi forniti da parte degli OSE e degli FSD europei, dovrà essere effettuata al Computer Security Incident Response Team (CSIRT) e alle Autorità competenti NIS che in Italia sono identificate nei Ministeri, ognuno con competenze su settori specifici ad esempio il Ministero dell’economia e delle finanze in collaborazione con Banca d’Italia e Consob ha la competenza sul settore bancario e delle infrastrutture dei mercati finanziari.

Questa pratica sarà il primo passo verso lo sviluppo di un rapporto di cooperazione e scambio tra stati, in quanto tali figure saranno impegnate a cooperare tra di loro a livello internazionale fornendo analisi e comunicazioni tempestive su eventuali rischi e incidenti.

Gli organi competenti di ogni stato europeo guideranno il potenziamento delle capacità di risposta agli attacchi informatici, sviluppando una strategia nazionale di cyber security che definisca:

  1. Gli obiettivi strategici, le priorità nazionali, la governance, l’individuazione di misure proattive, di risposta e di recovery;
  2. La sensibilizzazione, la formazione e l’istruzione;
  3. L’incentivazione della cooperazione tra settore pubblico e settore privato;
  4. La lista degli attori coinvolti nella attuazione della strategia.

Una lista in cui centrale sarà proprio la cooperazione tra pubblico e privato, soprattutto in merito alla consulenza specifica di settore.

Come si sta muovendo l’Italia?

Il prossimo passo sarà aggiornare la strategia nazionale per la sicurezza del cyberspazio, (l’ultima versione è del 2013) così da conformarsi ai dettami comunitari.

Il DPCM prevede due importanti scadenze operative, fissate entrambe al 9 novembre 2018:

  1. L’obbligo, per le autorità competenti NIS, di identificare puntualmente con propri provvedimenti gli operatori di servizi essenziali aventi una sede nel territorio nazionale;

 

  1. L’obbligo, questa volta per il Governo, di emanare un apposito DCPM finalizzato a disciplinare l’organizzazione e il funzionamento dello CSIRT italiano (istituito presso la Presidenza del consiglio dei ministri) che svolge il ruolo di struttura centralizzata di prevenzione e risposta agli incidenti cibernetici e che nasce dalla fusione degli attuali CERT Nazionale (istituito all’interno del Ministero dello sviluppo economico) e CERT della Pubblica amministrazione (istituito all’interno dell’Agenzia per l’Italia Digitale).

L’adozione di una strategia nazionale di cyber security è uno dei passi più importanti per comprendere le interdipendenze e le vulnerabilità delle infrastrutture digitali di ciascun Paese, andando così a rafforzare quelle strutture e quei servizi da cui dipende il futuro digitale ed il benessere economico delle nazioni moderne.

 

About The Author

Leave Comment