In vigore la direttiva NIS sulla sicurezza informatica

06.12.2018 - TECNOLOGIA E PRODUZIONE

I tre punti chiave della direttiva NIS sono:

- Miglioramento della capacità di cyber security dei singoli Stati dell’Unione;

- Aumento del livello di cooperazione tra gli Stati dell’Unione;

- Obbligo di gestione dei rischi e di riportare gli incidenti di una certa entità da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali.

La direttiva NIS al momento si applica, per l’Italia, solamente ai campi da essa esplicitamente previsti, ossia: 

·  Gli Operatori di Servizi Essenziali (OSE) sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l'economia nei settori sanitario, dell'energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali.

·  I Fornitori di Servizi Digitali (FSD) sono le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale. Gli obblighi previsti per gli FSD non si applicano alle imprese che la normativa europea definisce "piccole" e "micro", quelle cioè che hanno meno di 50 dipendenti e un fatturato o bilancio annuo non  superiore ai 10 milioni di Euro.   

Gli stati membri hanno comunque la facoltà di espandere il campo di applicazione della direttiva.   

L’Articolo 7 della Direttiva prevede, inoltre, l’adozione di una strategia nazionale di sicurezza cibernetica da parte del Presidente del Consiglio dei Ministri. La strategia dovrà prevedere in particolare le misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, la definizione di un piano di valutazione dei rischi informatici e programmi di formazione e sensibilizzazione in materia di sicurezza informatica. Gran parte di questi elementi sono già affrontati, per grandi linee, nella vigente strategia nazionale di sicurezza cibernetica, che però andrà ulteriormente arricchita e aggiornata.

Gli OSE e i fornitori di servizi digitali (FSD) dovranno adottare misure tecniche-organizzative per la gestione dei rischi e per la riduzione dell’impatto di eventuali incidenti informatici. Gli elementi che devono prendere in considerazione ai fini della gestione dei rischi informatici sono meglio specificati nel Regolamento di esecuzione (UE) 2018/151 della Commissione del 30 gennaio 2018; il decreto di recepimento specifica che gli operatori di servizi essenziali dovranno inoltrare al CSIRT e per conoscenza all’ autorità competente NIS del proprio settore (elencate in https://www.csirt-ita.it/nis.html), le notifiche di incidenti informatici con impatto rilevante sui servizi forniti. Un obbligo analogo è previso anche a carico dei fornitori di servizi digitali di cui all’Allegato III della Direttiva (motori di ricerca, servizi cloud e piattaforme di commercio elettronico). Il decreto non fissa un limite temporale rigido per le notifiche, ma specifica che le stesse vanno effettuate “senza ingiustificato ritardo”. La scelta di optare per una segnalazione diretta al CSIRT, piuttosto che alle varie autorità competenti NIS, presenta vantaggi di efficienza amministrativa ed è quindi apprezzabile. La NIS ha anche importanti legami con il tema del GDPR (e in particolare col suo art. 33 - Notifica di una violazione dei dati personali all'autorità di controllo).

Documentazione e ulteriori informazioni:

https://ec.europa.eu/digital-single-market/en/network-and-information-security-nis-directive
https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016L1148&from=IT
http://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2018-06-09&atto.codiceRedazionale=18G00092&elenco30giorni=false
https://www.agendadigitale.eu/sicurezza/attuazione-della-direttiva-nis-lo-lo-schema-decreto-legislativo/
https://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2018/06/La-NIS-in-pillole.pdf
https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32018R0151&from=IT
https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32018R0151&from=IT

 

 

Contatti

Direzione Tecnica

Enrico Annacondia
tel +39 02 26255.279
tech.dept@ucimu.it