La direttiva NIS

Con il Decreto Legislativo 18 maggio 2018, n.65, pubblicato sulla Gazzetta Ufficiale n.132 del 9 giugno 2018, l’Italia ha dato attuazione alla Direttiva (UE) 2016/1148, nota come Direttiva NIS (Network and Information Security). Questa direttiva non ha un orientamento prescrittivo non ponendo delle misure obbligatorie minimali da seguire, ma indica gli obiettivi da raggiungere lasciando ai singoli soggetti un ampio margine di manovra nell’individuare e implementare mezzi e strumenti considerati idonei per il loro raggiungimento.

La Direttiva NIS affronta per la prima volta a livello europeo il tema della Cybersecurity e definisce le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi, Tale decreto si applica agli Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD). Gli OSE sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali. Gli FSD sono le persone giuridiche che forniscono servizi di e-commerce e Cloud. OSE e FSD:devono adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi, devono prevenire e minimizzare l’impatto degli incidenti di sicurezza delle reti e dei sistemi informativi, e sono tenuti a notificare, senza giustificato ritardo, gli incidenti che hanno un impatto rilevante sulla continuità e sulla fornitura del servizio informandone anche l’Autorità competente NIS, costituita dai seguenti ministeri: Sviluppo economico, per i settori energia, infrastrutture digitali e per gli FSD; Infrastrutture e trasporti, per il settore dei trasporti; Economia e finanze, per i settori bancario e infrastrutture dei mercati finanziari, in collaborazione con Banca d‘Italia e Consob; Salute e infine Ambiente. Quale punto di contatto unico viene designato il Dipartimento Informatico per la Sicurezza (DIS). Ogni Stato dovrà designare uno o più CSIRT (Computer Security Incident Response Team) responsabili del monitoraggio degli incidenti a livello nazionale, fornendo allarmi tempestivi, avvisi e annunci per diffondere informazioni utili su rischi e incidenti. Dovranno inoltre fornire analisi sui rischi e incidenti e aumentare il grado di consapevolezza. Fondamentale per i CSIRT è la cooperazione internazionale e l’information sharing. Al fine di garantire la cooperazione tra gli Stati membri, punto fondamentale della direttiva NIS, è stato istituito un gruppo di cooperazione (articolo 11 della Direttiva) composto dagli Stati membri, dalla Commissione e dall’ENISA (European Union for Network and Information Security Agency).

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here