Via Santa Maria 13, Carvico
+ 39 0354397063 assistenza@proximalab.it
Le migliori soluzioni IT

Direttiva NIS: cosa è e cosa prevede la direttiva sulla cybersecurity

Direttiva NIS: cosa è e cosa prevede la direttiva sulla cybersecurity

L'Italia ha compiuto un altro passo avanti verso il rafforzamento della propria cybersecurity. ​ L’8 febbraio scorso il Consiglio dei Ministri ha approvato ​​il Decreto Legislativo che recepisce la direttiva (UE) 2016/1148, meglio nota come direttiva NIS - Network and Information Security, contenente una serie di misure per un livello elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.

Questa direttiva nasce dalla considerazione che le reti e i servizi informativi svolgono un ruolo vitale nella società e, pertanto, è essenziale che siano affidabili e sicuri per le attività economiche e sociali.

Le disposizioni previste dalla Direttiva riguardano gli operatori di servizi essenziali (nel settore dei trasporti, energetico, bancario, sanitario, dell’acqua potabile, nonché nell’ambito delle infrastrutture digitali e dei mercati finanziari), che dovranno essere identificati dagli Stati membri entro il 9 novembre 2018. Ma coinvolgono anche i fornitori di servizi digitali che operano in diverse categorie:

  • online marketplace;
  • cloud computing service;
  • online search engine.

Seppur non direttamente interessate, le pubbliche amministrazioni che offrono servizi nei settori citati (ad esempio trasporti, sanità e distribuzione di acqua potabile) saranno comunque sottoposte alla normativa NIS, se identificate quali operatori di servizi essenziali.

Il decreto ha tre obiettivi principali: ​promuovere una cultura di gestione del rischio e di segnalazione degli incidenti, ​migliorare le capacità di gestire la sicurezza delle reti ​ e​ rafforzare la cooperazione a livello nazionale e in ambito europeo.

Cosa prevede la direttiva NIS

La direttiva NIS prevede che ogni Stato membro sia obbligato ad adottare una strategia a livello nazionale in materia di cyber sicurezza, adottando liberamente norme che garantiscano un livello di protezione più elevato. Deve inoltre nominare autorità nazionali competenti e figure che avranno la responsabilità di monitorare incidenti in questo settore: si parla di CSIRT, Computer Security Incident Response Team.
Nel caso dell’Italia sono designate autorità competenti NIS 5 ministeri (sviluppo economico, infrastrutture e trasporti, economia, salute e ambiente) e il D.Lgs. prevede l'istituzione, presso la Presidenza del Consiglio dei Ministri, di un unico Computer Security Incident Response Team, detto CSIRT italiano, che sostituirà gli attuali CERT Nazionale (operante presso il Ministero dello Sviluppo Economico) e CERT-PA (operante presso l'Agenzia per l'Italia Digitale).

Gli Stati membri dovranno provvedere affinché gli operatori di servizi essenziali adottino misure tecniche e organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici.
Lo stesso vale per i fornitori di servizi digitali che dovranno tenere conto dei seguenti elementi:

  • sicurezza dei sistemi e degli impianti;
  • trattamento degli incidenti;
  • gestione della continuità operativa;
  • monitoraggio, audit e test;
  • conformità con le norme internazionali

Gli operatori di servizi essenziali e i fornitori di servizi digitali dovranno notificare al CSIRT ogni incidente che abbia un impatto rilevante sulla continuità dei servizi essenziali prestati (se sono operatori di servizi essenziali) oppure un impatto sostanziale sulla fornitura di un servizio digitale (nel caso di fornitori di servizi digitali).

Dato che in molti casi gli incidenti compromettono dati personali, la direttiva NIS dispone anche che l’autorità competente debba operare in stretta cooperazione con le autorità che vigilano sulla protezione dei dati. E visto che i dati personali sono oggetto anche del nuovo regolamento GDPR, in caso di violazioni dei dati i soggetti pubblici o privati che erogano il servizio interessato dall’incidente dovranno adempiere agli obblighi di notifica previsti da entrambe le normative, quindi effettuare sia la notifica per gli incidenti di cui alla direttiva NIS, sia la notifica per la violazione dei dati personali prevista dal GDPR.

Sanzioni

La Direttiva NIS lascia agli Stati membri la decisione riguardo al tipo e alla natura delle sanzioni applicabili, a condizione che siano effettive, proporzionate e dissuasive. Il governo ha stabilito che le autorità competenti potranno applicare sanzioni amministrative fino a 150.000 euro in caso di violazione da parte degli operatori di servizi essenziali (e dei fornitori di servizi digitali) degli obblighi previsti dal decreto.