Cybersicurezza, la Nis entra in vigore nell’Ue. Ora Amazon e Google, se attaccate, dovranno comunicarlo. Si chiama Network and information security. E’ il decreto che punta ad armonizzare la cybersecurity dei 28 Paesi membri e rafforzare concretamente il livello di sicurezza della rete e dei sistemi informativi. Con obbligo di notifica degli incidenti rilevanti da parte di enti pubblici e privati e stretta cooperazione a livello Ue.
L’Europa comincia ad organizzarsi in maniera organica in fatto di sicurezza informatica: entra in vigore il Nis, acronimo di Network and information security. Decreto che riguarda la cybersecurity dei 28 Paesi membri, compresa la Gran Bretagna, e tenta di rafforzare concretamente il livello di sicurezza della rete e dei sistemi informativi con obbligo di notifica degli incidenti per soggetti pubblici e privati, iniziando dai colossi del Web.
Non solo. Fra gli obiettivi anche la promozione della cultura della prevenzione del rischio e le misure per limitare l’impatto di incidenti informatici oltre al potenziamento delle capacità nazionali di cybersecurity. E ancora: il rafforzamento della cooperazione.
Gli obblighi. Ma la caratteristica centrale del nuovo provvedimento, come dicevamo, sono proprio gli obblighi per i cosiddetti Operatori di Servizi Essenziali (Ose), ossia organizzazioni pubbliche o private operanti nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, infrastrutture digitali, sanitario e fornitura e distribuzione di acqua potabile. Come per i Fornitori di Servizi Digitali (Fsd): e-commerce, motori di ricerca, e cloud computing. Dunque da Google ad Amazon, fino a Microsoft.
Spetta a loro l’adottare misure tecniche ed organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici, cosa che avranno già fatto. La notifica di incidenti con impatto rilevante sui servizi forniti andrà fatta al Computer Security Incident Response Team (Csirt) e alle Autorità competenti Nis, ossia i vari Ministeri. A questi ultimi è assegnato il compito di vigilare sull’applicazione della direttiva a livello nazionale, ed affibbiare sanzioni amministrative nel caso di mancato adempimento degli obblighi previsti.
I ministeri competenti. Le autorità competenti solo il ministero delle Sviluppo economico, per i settori energia, infrastrutture digitali e per gli Fsd; Infrastrutture e trasporti, per il settore trasporti; Economia e finanze, per i settori bancario e infrastrutture dei mercati finanziari, in collaborazione con Banca d’Italia e Consob; Salute e, infine, Ambiente. Per alcuni ambiti – come la salute e la fornitura e distribuzione di acqua potabile – sono autorità competenti le Regioni e Province autonome di Trento e Bolzano.
I tempi. Da domani i Fornitori di servizi digitali, sono tenuti all’applicazione della norma: per la notifica degli incidenti aventi un impatto rilevante dovranno tener conto delle soglie stabilite dall’Unione europea. Entro il 9 novembre 2018 le Autorità competenti sono tenute ad identificare gli Ose sulla base di criteri che comprendano: l’importanza del servizio fornito per il mantenimento di attività sociali e/o economiche fondamentali; la dipendenza della fornitura del servizio da reti e sistemi informativi; e la rilevanza, sull’erogazione del servizio, degli effetti derivanti da un incidente.
Il punto di riferiimento unico in Italia. Il punto di contatto unico, in ragione del ruolo nell’architettura cyber italiana, è il Dipartimento Informazioni per la Sicurezza (Dis), cui compete assicurare a livello nazionale il coordinamento delle questioni relative alla sicurezza delle reti e dei sistemi informativi. E, a livello europeo, il raccordo con il Gruppo di cooperazione (istituito presso la Commissione europea) e la rete dei Csirt.
Lascia un commento