Rafforzare concretamente il livello di sicurezza della rete e dei sistemi informativi, obbligo di notifica degli incidenti rilevanti e stretta cooperazione a livello Ue. Sono le finalità previste dalla direttiva nota come “Nis” (Network and information security), che per la prima volta a livello europeo affronta in modo organico e trasversale il tema della cybersecurity, contribuendo ad incrementare il livello comune di sicurezza nei 28 Paesi membri. Il decreto, in vigore da domani, punta ad armonizzare la difesa cibernetica dei singoli Stati europei, individuando i soggetti competenti a dare attuazione agli obblighi previsti dalla nuova disciplina del cyberspazio.
Obiettivi della direttiva
Gli obiettivi prevedono, in particolare, la promozione della cultura della prevenzione del rischio e le misure tecnico-organizzative per limitare l’impatto di incidenti informatici; il potenziamento delle capacità nazionali di cybersecurity; il rafforzamento della cooperazione – sia in ambito nazionale che europeo; e, ancora, la salvaguardia della business continuity per gli Operatori di servizi essenziali e i Fornitori di servizi digitali.
Caratteristica peculiare del nuovo provvedimento sono gli obblighi in materia di sicurezza e di notifica per i cosiddetti Operatori di Servizi Essenziali (OSE) – ossia organizzazioni pubbliche o private operanti nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, infrastrutture digitali, sanitario e fornitura e distribuzione di acqua potabile; e per i Fornitori di Servizi Digitali (FSD): e-commerce, motori di ricerca, e cloud computing.
Spetta a loro l’obbligo di adottare misure tecniche ed organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici. La notifica di incidenti con impatto rilevante sui servizi forniti andrà fatta al Computer Security Incident Response Team (CSIRT) e alle Autorità competenti NIS, ossia i vari Ministeri. A questi ultimi è assegnato il compito di vigilare sull’applicazione della direttiva a livello nazionale, ed irrogare sanzioni amministrative nel caso di mancato adempimento degli obblighi previsti.
I Ministeri competenti
Più precisamente, sono definite Autorità competenti NIS, i seguenti ministeri: Sviluppo economico, per i settori energia, infrastrutture digitali e per gli FSD; Infrastrutture e trasporti, per il settore trasporti; Economia e finanze, per i settori bancario e infrastrutture dei mercati finanziari, in collaborazione con Banca d’Italia e Consob; Salute e, infine, Ambiente. Per alcuni ambiti – come la salute e la fornitura e distribuzione di acqua potabile – sono autorità competenti le Regioni e Province autonome di Trento e Bolzano.
Da domani gli FSD sono tenuti all’applicazione della norma: per la notifica degli incidenti aventi un impatto rilevante dovranno tener conto delle soglie stabilite dall’Unione europea . Entro il 9 novembre 2018 le Autorità competenti sono tenute ad identificare gli OSE sulla base di criteri che comprendano: l’importanza del servizio fornito per il mantenimento di attività sociali e/o economiche fondamentali; la dipendenza della fornitura del servizio da reti e sistemi informativi; e la rilevanza, sull’erogazione del servizio, degli effetti derivanti da un incidente.
Dis punto di contatto
Quale Punto di contatto unico viene designato, in ragione del ruolo da esso svolto nell’architettura cyber italiana, il Dipartimento Informazioni per la Sicurezza (Dis), cui compete assicurare: a livello nazionale, il coordinamento delle questioni relative alla sicurezza delle reti e dei sistemi informativi e, a livello europeo, il raccordo necessario a garantire la cooperazione transfrontaliera delle Autorità competenti NIS italiane con quelle degli altri Stati membri, con il Gruppo di cooperazione (istituito presso la Commissione europea), e la rete dei CSIRT.
Allo CSIRT italiano, gruppo di intervento istituito presso la Presidenza del Consiglio, sono attribuite le funzioni attualmente svolte dal CERT nazionale (sito presso il ministero per lo Sviluppo economico) e dal CERT-PA (presso l’Agenzia per l’Italia digitale-AGID). Funzionamento e organizzazione della nuova struttura sono demandati ad un DPCM da adottare entro il 9 novembre 2018. Nell’attesa, le funzioni dei due Centri sono svolte secondo una ripartizione dei rispettivi ruoli e responsabilità: ossia Pubblica Amministrazione per il CERT-PA e settore privato per il CERT-N, in aggiunta all’introduzione di uno scambio informativo rafforzato e specifiche procedure di gestione delle notifiche. Il CERT Nazionale provvede a garantire la cooperazione a livello europeo, anche nell’ambito della rete di CSIRT, in stretto raccordo con il CERT-PA.
Il gruppo di intervento
Più specificamente, al gruppo di intervento spetta: definire le procedure per la prevenzione e la gestione degli incidenti informatici, ricevere le notifiche di incidente, informare le Autorità competenti NIS, il punto di contatto unico e il Nucleo per la Sicurezza Cibernetica istituito presso il DIS (per le attività di prevenzione e preparazione a eventuali situazioni di crisi e di attivazione delle procedure di allertamento). Infine, spetta al CSIRT italiano garantire la collaborazione nella rete di CSIRT.
Per l’adempimento degli obblighi previsti dalla Nis è essenziale la collaborazione tra le Autorità competenti NIS, il punto di contatto unico e il CSIRT italiano. A tal fine, è prevista l’istituzione, presso la Presidenza del Consiglio dei ministri, di un Comitato tecnico di raccordo – da disciplinare con apposito DPCM – composto dalle Autorità competenti NIS.