Finalmente l’Italia rafforza concretamente il livello di sicurezza delle reti e dei propri sistemi informativi. Ieri infatti è entrata in vigore la Direttiva “Nis” (Network and information security), dove per la prima volta a livello europeo viene affrontato in modo organico e trasversale il tema della cybersecurity, contribuendo ad incrementare il livello comune di sicurezza nei 28 Paesi membri.
Il decreto, in vigore nel nostro Paese dal 24 giugno, punta ad armonizzare la difesa cibernetica, individuando i soggetti competenti a dare attuazione agli obblighi previsti dalla nuova disciplina del cyberspazio.
Gli obiettivi della Direttiva
Gli obiettivi prevedono, in particolare, la promozione della cultura della prevenzione del rischio e le misure tecnico-organizzative per limitare l’impatto di incidenti informatici; il potenziamento delle capacità nazionali di cybersecurity; il rafforzamento della cooperazione – sia in ambito nazionale che europeo; e, ancora, la salvaguardia della business continuity per gli Operatori di servizi essenziali e i Fornitori di servizi digitali.
Gli Obblighi
Caratteristica peculiare del nuovo provvedimento sono gli obblighi in materia di sicurezza e di notifica per i cosiddetti Operatori di Servizi Essenziali (OSE) – ossia organizzazioni pubbliche o private operanti nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, infrastrutture digitali, sanitario e fornitura e distribuzione di acqua potabile; e per i Fornitori di Servizi Digitali (FSD): e-commerce, motori di ricerca, e cloud computing.
Adesso cosa cambia?
Spetta a loro l’obbligo di adottare misure tecniche ed organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici. La notifica di incidenti con impatto rilevante sui servizi forniti andrà fatta al Computer Security Incident Response Team (CSIRT) e alle Autorità competenti NIS, ossia i vari Ministeri. A questi ultimi è assegnato il compito di vigilare sull’applicazione della direttiva a livello nazionale, ed irrogare sanzioni amministrative nel caso di mancato adempimento degli obblighi previsti.
Chi sono le autorità competenti
Più precisamente, sono definite Autorità competenti NIS, i seguenti ministeri: Sviluppo economico, per i settori energia, infrastrutture digitali e per gli FSD; Infrastrutture e trasporti, per il settore trasporti; Economia e finanze, per i settori bancario e infrastrutture dei mercati finanziari, in collaborazione con Banca d’Italia e Consob; Salute e, infine, Ambiente. Per alcuni ambiti – come la salute e la fornitura e distribuzione di acqua potabile – sono autorità competenti le Regioni e Province autonome di Trento e Bolzano.
Entro il 9 novembre 2018 le Autorità competenti sono tenute ad identificare….