Il tema della sicurezza informatica è diventato di vitale importanza non solo per le aziende ma anche per le pubbliche amministrazioni. Da anni inoltre emergono sempre nuovi casi di attacchi mirati ad infrastrutture o a servizi pubblici di varie nazioni. Dunque negli ultimi decenni i vari stati hanno destinato, in modo indipendente tra loro, delle risorse per incrementare la sicurezza informatica dei propri sistemi.
La direttiva NIS
Tuttavia gli sforzi dei singoli stati possono non bastare, ecco perché nel 2016 l'Unione Europea ha emanato una direttiva, comunemente conosciuta come NIS, volta a migliorare il livello di sicurezza della rete e dei sistemi informatici dei 28 paesi dell'Unione. La direttiva è stata recepita dall'Italia tramite il decreto legislativo n.65/2018 e dunque è entrata in vigore il 24 giugno 2018.
Questa legge, nella sostanza, punta ad armonizzare la difesa cibernetica tra i vari stati, individuando anche i soggetti competenti a dare attuazione agli obblighi previsti dalla nuova disciplina.
Gli obiettivi della direttiva sono:
- potenziamento delle capacità nazionali di difesa informatica;
- rafforzamento della cooperazione tra i 28 stati in tale settore;
- salvaguardia della business continuity per gli Operatori di servizi essenziali e i Fornitori di servizi digitali.
OSE e FSD
Gli Operatori di Servizi Essenziali (OSE) sono quelle organizzazioni pubbliche o private operanti nei settori energia, trasporti, settore bancario, infrastrutture, mercati finanziari, infrastrutture digitali, settore sanitario e fornitura e distribuzione di acqua potabile. Mentre i Fornitori di Servizi Digitali (FSD) sono quei soggetti che operano nell'e-commerce, con i motori di ricerca e con il Cloud computing.
Tali soggetti hanno l’obbligo di adottare misure tecniche ed organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici. Inoltre in caso di incidenti o attacchi con impatto rilevante sui servizi forniti sarà obbligatorio notificare l'accaduto al CSIRT (Computer Security Incident Response Team) e alle autorità competenti indicate dalla direttiva, ovvero i vari ministeri che si occupano dei settori dove operano le OSE e le FSD.
I ministeri hanno l'obbligo di vigilare sull'applicazione della norma a livello nazionale e possono applicare sanzioni amministrative nel caso di mancato adempimento degli obblighi previsti.
Di recente il MISE (Ministero dello Sviluppo Economico) ha individuato ben 465 OSE presenti nel mercato italiano che dunque saranno tenuti ad applicare la direttiva NIS e saranno quindi posti sotto monitoraggio dal ministero. Tramite un comunicato il MISE ha dichiarato che l'Italia è nel gruppo di testa degli Stati membri UE che hanno concretamente dato seguito agli adempimenti della Direttiva NIS.
Entro il 31 gennaio verrà comunicato a tali organizzazioni identificate di essere state inquadrate nella lista delle OSE. Il processo di identificazione sarà ripetuto ogni due anni, in modo che il ministero abbia sempre disponibili i dati aggiornati delle varie OSE presenti sul territorio nazionale, che rappresentano i punti cardine del sistema informatico del Paese.
L'Italia si è dunque attivata in questi mesi per aumentare la sua resilienza agli attacchi informatici di vario genere contro le sue infrastrutture essenziali.
Via MiSE