Cybersecurity: come l'Italia implementa la direttiva NIS
Entro il 31 gennaio 2019 l'Italia dovrà comunicare alle organizzazioni già identificate di essere state inquadrate come Operatori di servizi essenziali nazionali per ciascuno dei settori previsti dalla direttiva europea NIS sulla cybersecurity.
> Cybersecurity, 5G, intelligenza artificiale: come sarà l’Europa digitale
L’Italia – insieme a Germania e Gran Bretagna – è nel gruppo di testa degli Stati membri che hanno concretamente dato seguito agli adempimenti della direttiva 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione, nota come direttiva NIS (Network and Information Security).
> Digitale: nascono nuove professioni, ma gli specialisti sono pochi
Direttiva NIS, gli operatori di servizi essenziali
Il Ministero dello sviluppo economico - insieme al Ministero delle infrastrutture e dei trasporti, al Ministero dell’economia e delle finanze, al Ministero della Salute, al Ministero dell’ambiente e della tutela del territorio e del mare, in collaborazione con le Regioni e Province autonome di Trento e di Bolzano - ha tempestivamente identificato gli Operatori di servizi essenziali (OSE) per ciascuno dei settori previsti dalla direttiva (energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile e infrastrutture digitali): si tratta di un totale di 465 realtà, tra pubbliche e private.
Parallelamente, ci si è attivati anche sulle misure che gli OSE dovranno adottare per la gestione dei rischi e sulle modalità con cui valutarne la compliance: un aspetto, quello di adeguamento alle norme, che fa davvero fare un salto di qualità alla cultura della sicurezza cibernetica.
I prossimi step prevedono che entro il 31 gennaio le autorità competenti comunichino alle organizzazioni identificate di essere state inquadrate quale ‘OSE nazionale’. Il processo di identificazione avrà carattere periodico e sarà ripetuto quando necessario e comunque ogni due anni, in modo da fotografare in maniera autentica l’emergere di eventuali nuove realtà OSE e far sì che tale identificazione individui correttamente i ‘gangli vitali’ del paese.
La cibersicurezza in Italia
Quello appena concluso dall’Italia è un passaggio fondamentale per garantire quell’ecosistema cyber previsto dalla direttiva UE che trova snodi fondamentali anche nello Computer Security Incident Response Team (CSIRT), istituito presso la Presidenza del Consiglio ed attualmente operante come coordinamento tra CERT-Nazionale e CERT-PA, e nel Punto di contatto unico, individuato all’interno del Dipartimento delle informazioni per la sicurezza (DIS).
Più specificatamente il primo sarà responsabile per il monitoraggio, la gestione e l’analisi dinamica degli incidenti cibernetici, e per la diffusione di allerta e divulgazione di informazioni, mentre il secondo è chiamato ad operare su due fronti: a livello nazionale, per coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi, e a livello UE per garantire la cooperazione transfrontaliera delle autorità competenti italiane con quelle degli altri Stati membri e la partecipazione al Gruppo di cooperazione NIS.
Sull’onda dell’iniziativa europea il sistema paese si sta dunque strutturando per essere più resiliente rispetto a minacce che già oggi insidiano la sicurezza nazionale e la crescita dell’Italia. Non va, infatti, dimenticato che gli sviluppi tecnologici attesi nel prossimo futuro sono per certi versi destinati a moltiplicare pericolosità ed impatto.
Il grande merito della direttiva NIS, ed il parametro su cui andrà misurata l’efficacia degli interventi previsti, è del resto quello di aver innescato, in tutti i paesi membri, uno sviluppo che, prima che tecnico ed ordinamentale, è soprattutto di natura culturale, dando vita ad un’architettura europea di cybersecurity che rende concreti alcuni dei principi cardine attorno a cui ruota la Strategia Nazionale in materia: approccio coordinato, aumento della consapevolezza, partnership pubblico-privato.
> Cybersecurity - coordinare i finanziamenti in Italia e in Europa