È entrata in vigore la direttiva europea nota come NIS (Network and Information Security) che affronta, per la prima volta in modo organico e trasversale, il tema della cybersecurity, contribuendo ad incrementare il livello comune di sicurezza nei 28 Paesi membri. Le finalità previste sono il rafforzamento concreto del livello di sicurezza della rete e dei sistemi informativi, l’obbligo di notifica degli incidenti rilevanti e la creazione di una stretta cooperazione a livello UE.
Il decreto punta ad armonizzare la difesa cibernetica dei singoli Stati europei, individuando i soggetti competenti a dare attuazione agli obblighi previsti dalla nuova disciplina del cyberspazio.
Gli obiettivi prevedono, in particolare, la promozione della cultura della prevenzione del rischio e le misure tecnico-organizzative per limitare l’impatto di incidenti informatici; il potenziamento delle capacità nazionali di cybersecurity; il rafforzamento della cooperazione – sia in ambito nazionale che europeo; e, ancora, la salvaguardia della business continuity per gli Operatori di servizi essenziali e i Fornitori di servizi digitali.
Caratteristica peculiare del nuovo provvedimento sono gli obblighi in materia di sicurezza e di notifica per i cosiddetti Operatori di Servizi Essenziali (OSE) – ossia organizzazioni pubbliche o private operanti nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, infrastrutture digitali, sanitario e fornitura e distribuzione di acqua potabile; e per i Fornitori di Servizi Digitali (FSD): e-commerce, motori di ricerca, e cloud computing.
Spetta a loro l’obbligo di adottare misure tecniche ed organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici. La notifica di incidenti con impatto rilevante sui servizi forniti andrà fatta al Computer Security Incident Response Team (CSIRT) e alle Autorità competenti NIS, ossia i vari Ministeri. A questi ultimi è assegnato il compito di vigilare sull’applicazione della direttiva a livello nazionale, ed irrogare sanzioni amministrative nel caso di mancato adempimento degli obblighi previsti.
Più precisamente, sono definite Autorità competenti NIS, i seguenti ministeri:
- Sviluppo economico, per i settori energia, infrastrutture digitali e per gli FSD;
- Infrastrutture e trasporti, per il settore trasporti;
- Economia e finanze, per i settori bancario e infrastrutture dei mercati finanziari, in collaborazione con Banca d’Italia e Consob;
- Salute e Ambiente; per alcuni ambiti – come la salute e la fornitura e distribuzione di acqua potabile – sono autorità competenti le Regioni e Province autonome di Trento e Bolzano.
Da oggi gli FSD sono tenuti all’applicazione della norma: per la notifica degli incidenti aventi un impatto rilevante dovranno tener conto delle soglie stabilite dall’Unione europea. Entro il 9 novembre 2018 le Autorità competenti sono tenute ad identificare gli OSE sulla base di criteri che comprendano: l’importanza del servizio fornito per il mantenimento di attività sociali e/o economiche fondamentali; la dipendenza della fornitura del servizio da reti e sistemi informativi; e la rilevanza, sull’erogazione del servizio, degli effetti derivanti da un incidente.
Quale Punto di contatto unico viene designato, in ragione del ruolo da esso svolto nell’architettura cyber italiana, il Dipartimento Informazioni per la Sicurezza (Dis), cui compete assicurare: a livello nazionale, il coordinamento delle questioni relative alla sicurezza delle reti e dei sistemi informativi e, a livello europeo, il raccordo necessario a garantire la cooperazione transfrontaliera delle Autorità competenti NIS italiane con quelle degli altri Stati membri, con il Gruppo di cooperazione (istituito presso la Commissione europea), e la rete dei CSIRT.
Allo CSIRT italiano, gruppo di intervento istituito presso la Presidenza del Consiglio, sono attribuite le funzioni attualmente svolte dal CERT nazionale (sito presso il Ministero per lo sviluppo economico) e dal CERT-PA (presso l’Agenzia per l’Italia digitale-AGID). Funzionamento e organizzazione della nuova struttura sono demandati ad un DPCM da adottare entro il 9 novembre 2018. Nell’attesa, le funzioni dei due Centri sono svolte secondo una ripartizione dei rispettivi ruoli e responsabilità: ossia Pubblica Amministrazione per il CERT-PA e settore privato per il CERT-N, in aggiunta all’introduzione di uno scambio informativo rafforzato e specifiche procedure di gestione delle notifiche. Il CERT Nazionale provvede a garantire la cooperazione a livello europeo, anche nell’ambito della rete di CSIRT, in stretto raccordo con il CERT-PA.
Più specificamente, al gruppo di intervento spetta: definire le procedure per la prevenzione e la gestione degli incidenti informatici, ricevere le notifiche di incidente, informare le Autorità competenti NIS, il punto di contatto unico e il Nucleo per la Sicurezza Cibernetica istituito presso il DIS (per le attività di prevenzione e preparazione a eventuali situazioni di crisi e di attivazione delle procedure di allertamento). Infine, spetta al CSIRT italiano garantire la collaborazione nella rete di CSIRT.
Per l’adempimento degli obblighi previsti dalla Nis è essenziale la collaborazione tra le Autorità competenti NIS, il punto di contatto unico e il CSIRT italiano. A tal fine, è prevista l’istituzione, presso la Presidenza del Consiglio dei ministri, di un Comitato tecnico di raccordo – da disciplinare con apposito DPCM – composto dalle Autorità competenti NIS.
Maggiori informazioni sono disponibili sul sito www.csirt-ita.it.
