Con il Decreto Legislativo 18 maggio 2018, n.65, pubblicato sulla Gazzetta Ufficiale n.132 del 9 giugno 2018, l’Italia ha dato attuazione alla Direttiva (UE) 2016/1148, nota come Direttiva NIS (Network and Information Security).
Questa Direttiva non ha un orientamento prescrittivo. Non pone delle misure obbligatorie minimali da seguire, ma indica gli obiettivi da raggiungere. Lascia ai singoli soggetti un ampio margine di manovra nell’individuare e implementare mezzi e strumenti considerati idonei per il loro raggiungimento.
Cos'è la Direttiva NIS
La Direttiva NIS affronta per la prima volta a livello europeo il tema della Cybersecurity e definisce le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi.
Tale Decreto si applica agli Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD). Gli OSE sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali.
Gli FSD sono le persone giuridiche che forniscono servizi di e-commerce e Cloud. OSE e FSD devono adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi, devono prevenire e minimizzare l’impatto degli incidenti di sicurezza delle reti e dei sistemi informativi.
Questi soggetti sono tenuti a notificare, senza giustificato ritardo, gli incidenti che hanno un impatto rilevante sulla continuità e sulla fornitura del servizio. Devono informare anche l’Autorità competente NIS, che fa capo a diversi Ministeri. Sono coinvolti: Sviluppo economico, per i settori energia, infrastrutture digitali e per gli FSD; Infrastrutture e trasporti, per il settore dei trasporti; Economia e finanze, per i settori bancario e infrastrutture dei mercati finanziari, in collaborazione con Banca d‘Italia e Consob; Salute e infine Ambiente. Quale punto di contatto unico viene designato il Dipartimento Informatico per la Sicurezza (DIS).
Cosa devono fare gli Stati membri
Ogni Stato dovrà designare uno o più CSIRT (Computer Security Incident Response Team) responsabili del monitoraggio degli incidenti a livello nazionale. Dovranno fornire allarmi tempestivi, avvisi e annunci per diffondere informazioni utili su rischi e incidenti. Dovranno inoltre fornire analisi sui rischi e incidenti e aumentare il grado di consapevolezza.
Fondamentale per i CSIRT è la cooperazione internazionale e l’information sharing. Al fine di garantire la cooperazione tra gli Stati membri, punto fondamentale della Direttiva NIS, è stato istituito un gruppo di cooperazione (articolo 11 della Direttiva). Il gruppo è composto dagli Stati membri, dalla Commissione e dall’ENISA c(European Union for Network and Information Security Agency).
