Sicurezza e Privacy
La cybersicurezza alla prova della direttiva Nis: gli obblighi e i soggetti coinvolti
di Giancarlo Calzetta
Img Description

L’innovazione digitale è un’ascia a doppio taglio: le aziende non possono fare a meno di adottare le tecnologie più moderne se vogliono restare competitive, ma così facendo si espongono agli attacchi informatici. Il numero di quelli andati a buon fine è salito vertiginosamente negli ultimi anni perché le difese delle aziende restavano deboli, mentre la legislazione in tema scarseggiava, ma le cose iniziano a smuoversi. Dopo il grande clamore suscitato dal Gdpr, la normativa per la protezione dei dati sensibili divenuta effettiva lo scorso mese, è arrivato il momento del Nis, la direttiva europea tesa a migliorare le difese delle infrastrutture critiche degli Stati membri, puntando con una particolare enfasi sulla intelligence e prevenzione.

La direttiva Nis è stata recepita dall’Italia con un decreto legislativo pubblicato sulla Gazzetta Ufficiale il 9 giugno e diverrà effettivo a partire da domenica prossima 24 giugno. Il suo scopo è quello di assicurare che le aziende fornitrici di servizi essenziali, siano esse pubbliche o private, siano dotate di difese informatiche adeguate a evitare continuità e qualità dei servizi erogati.

Cosa e chi deve fare

Come ormai da prassi nelle direttive europee, sebbene gli stati membri avessero la possibilità di farlo, nel decreto non viene specificato quali siano le tecnologie da mettere in opera per rendere “adeguate” le difese aziendali, ma c’è di buono che non sembrano essere necessarie misure eccezionali rispetto a quelle già rese necessarie dal Gdpr e dalle normali buone pratiche di sicurezza informatica. Inoltre, l’applicazione del Nis riguarda principalmente le aziende che verranno identificate come Operatori di servizi essenziali (Ose) o fornitori di servizi digitali, cioè se forniranno tramite Internet o dispositivi informatici uno o più servizi essenziali per il mantenimento di attività sociali e/o economiche fondamentali e se in caso di attacco informatico dovessero verificarsi effetti negativi con ricadute importanti.

La legge appena approvata resta molto fedele al testo della direttiva europea e identifica otto settori di intervento: energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile, infrastrutture digitali, servizi digitali (quali motori di ricerca, servizi cloud e piattaforme di commercio elettronico).

Cinque ministeri competenti si occuperanno di identificare entro il 9 novembre i requisiti specifici delle Ose e fungeranno da coordinamento per la circolazione delle informazioni: ministero per lo Sviluppo economico, Infrastrutture e Trasporti, Economia, Salute, Ambiente e territorio.

Obbligo di comunicazione

Mentre dal punto di vista tecnico l’impatto del NIS è relativamente ridotto, il vero cuore della nuova legge riguarda l’obbligo per le Ose di comunicare gli incidenti informatici subiti e la formazione di una infrastruttura a livello internazionale che permetta di condividere queste informazioni con tutti gli operatori che potrebbero essere interessati dallo stesso tipo di attacco. Per farlo, ogni stato si doterà di sistema di comunicazione facente capo a una autorità competente che si farà carico di ridistribuire l’informazione a livello locale e internazionale tramite un ente che funga da “punto di contatto”.

Nel caso dell’Italia, quando si verificherà un incidente informatico, l’Ose dovrà comunicarlo alla sua autorità competente la quale, a sua volta, lo comunicherà al Dis per valutarne la rilevanza internazionale e avviare l’eventuale procedura di diffusione agli altri Stati. Inoltre, il Cert-PA e il Cert Nazionale verranno fusi in un’unica entità chiamata Csirt che gestirà le segnalazioni. In caso di incidenti informatici gravi, anche le aziende non Ose saranno tenute a informare le autorità a cui fa capo il loro settore di attività.

La mancata comunicazione degli incidenti o la mancata messa in pratica di misure di sicurezza adeguate verranno punite a “posteriori”, solo in seguito a incidenti, con sanzioni che andranno da 12mila a 120mila euro.

Hai raggiunto il limite di 10 articoli gratuiti disponibili questo mese.
Abbonati a Il Sole 24 Ore Mobile per avere accedere illimitatamente a tutti i contenuti del sito mobile
Inserisci il tuo numero di cellulare per attivare l'offerta o, se sei già abbonato, per continuare a leggere.
Altre informazioni