La normativa prevede sanzioni pecuniarie per gli operatori di servizi essenziali e per i fornitori di servizi digitali che non adempiono gli obblighi legati alla sicurezza informatica

A cura di Donato Testa, Sales Engineer di Axis Communications

Pochi ne parlano e pochi la conoscono. Stiamo parlando della Direttiva NIS, normativa riguardante la sicurezza delle Reti e dei Sistemi Informatici, pubblicata dalla Commissione europea poco prima del più noto GDPR.

L’obiettivo della normativa, in vigore in Italia dal 26 giugno 2018, è quello di spingere diverse realtà ad utilizzare soluzioni di sicurezza informatica e stabilire pratiche per proteggere le reti informatiche e i dati a loro disposizione, sia propri che di terze parti. Con la Direttiva NIS, la Commissione europea vuole quindi cercare di arginare un fenomeno, quello del cybercrime, che è salito più volte agli onori della cronaca negli ultimi anni: sempre più aziende vengono violate, con la sottrazione di innumerevoli quantità di dati. Le conseguenza di un attacco andato a buon fine sono spesso molto pesanti sia in termini di perdite economiche che reputazionali per chi non è riuscito a contrastare le minacce.

A CHI E’ RIVOLTA LA DIRETTIVA NIS?

La regolamentazione è rivolta agli operatori di servizi essenziali (OSE) e ai fornitori di servizi digitali (FSD). Gli OSE sono organizzazioni pubbliche o private (465 per l’esattezza) attive nei settori dell’energia, dei trasporti, bancario, infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile, delle infrastrutture digitali e della sanità. I FSD invece sono persone giuridiche che forniscono servizi di e-commerce, cloud computing o sono motori di ricerca. A questa categoria appartengono solo quelle imprese con oltre 50 dipendenti ed un fatturato che supera i 10 milioni di euro.

La Direttiva NIS non riguarda però in modo diretto la pubblica amministrazione nel suo complesso, tranne per quelle branchie che offrono servizi nei settori essenziali.

COME ESSERE COMPLIANCE ALLA DIRETTIVA NIS

Gli operatori di servizi essenziali sono chiamati ad adottare misure tecnico-organizzative adeguate alla gestione dei rischi e alla prevenzione delle violazioni informatiche. Le linee guida sono predisposte dal Gruppo di Cooperazione (formato da rappresentati degli Stati membri, della Commissione europea e dell’ENISA, European Union for Network and Information Security Agency), istituito dalla Direttiva NIS.

I fornitori di servizi digitali invece, dovranno attivare misure tecnico-organizzative per gestire i rischi e ridurre le conseguenze di un attacco informatico. Per farlo devono far riferimento al Regolamento di esecuzione (UE) 2018/151 della Commissione del 30 gennaio 2018.

Requisiti tecnici

  • La comprensione delle proprie risorse e uno strumento per l’identificazione dei dispositivi sconosciuti
  • Un programma per la gestione delle vulnerabilità
  • Sistemi evoluti per il rilevamento delle minacce, compresi di capacità di rilevamento, di identificazione e di reportistica
  • Meccanismi efficaci per la segnalazione degli incidenti, tra cui i sistemi per registrare e segnalare gli incidenti entro 72 ore dal rilevamento
  • Gestione efficace degli incidenti
  • Piani di risposta e di recupero

Requisiti Organizzativi

  • Un approccio organizzativo alla gestione del rischio
  • Politiche e processi di gestione adeguati per disciplinare l’approccio alla sicurezza delle reti e dei sistemi informativi
  • La comprensione e la gestione dei rischi per la sicurezza di tutta la catena produttiva
  • Un’adeguata formazione del personale e la sensibilizzazione in materia di sicurezza delle reti e dei sistemi informativi.

NOTIFICA DEGLI INCIDENTI DI SICUREZZA

Fattore determinante alla lotta contro il cybercrime è la comunicazione di una violazione subita da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali al CSIRT(Computer Security Incident Response Team italiano). Le organizzazioni che non sono OSE o FSD e i professionisti non sono invece obbligati a notificare l’attacco subito, ma una loro comunicazione aiuterebbe sicuramente a diffondere la cultura della cyber security e a favorire la collaborazione per contrastare le minacce, grazie ad un aumento delle competenze.

ORGANI DI VIGILANZA

In Italia, sono cinque i Ministeri responsabili dell’attuazione e supervisione della Direttiva NIS, ciascuno dedicato ad uno o più settori. Al Ministero dello Sviluppo Economico sono designati i settori energia, infrastrutture digitali ed FSD, mentre al Ministero Infrastrutture e Trasporti i trasporti. Al Ministero di Economia e Finanza i settori bancario e finanziario. Gli altri Ministeri coinvolti sono quello della salute e dell’Ambiente.

Questi cinque Ministeri sono coordinati dal Dipartimento delle informazioni per la sicurezza (DIS) che, oltre a redigere un rapporto annuale, funge da collegamento anche con l’UE e gli organi dei vari stati membri.

Ruolo di primaria importanza, come già visto sopra, è quello del CSIRT italiano. Oltre a raccogliere le segnalazioni delle violazioni, il Computer Security Incident Response Team si occupa di definire le procedure per la prevenzione e gestione degli incidenti informatici, cooperando anche con gli altri CSIRT europei.

LE SANZIONI

La Direttiva NIS sancisce delle sanzioni agli operatori di servizi essenziali e ai fornitori di servizi digitali per la mancata comunicazione al CSIRT della violazione subita. Per gli operatori di servizi essenziali le sanzioni amministrative possono raggiungere un massimo di 150.000 euro ed un massimo di 125.000 per i fornitori di servizi digitali.

Le ammende stabilite per l’Italia dalla Direttiva possono avere gravi ripercussioni sulle imprese coinvolte. E’ bene pertanto che le organizzazioni procedano a soddisfare i requisiti della normativa affidandosi a fornitori di soluzioni di sicurezza che permettano di attivare una difesa informatica su più livelli e che comprenda l’aggiornamento costante degli strumenti di controllo volti alla mitigazione del rischio.