Individuati gli Ose, operatori di servizi essenziali, come previsto dalla direttiva Nis
In corso di definizione le misure per la gestione dei rischi
Pagina a cura di Antonio Ciccia Messina
Stato avanzamento lavori per la cybersecurity europea. Sono stati individuati gli operatori essenziali, che nei centri nevralgici sono l’avamposto per innalzare le difese e anche i possibili focolai di rischio cibernetico.
Gesti della vita quotidiana dipendono dalla tecnologia e le reti sono a rischio di attacco. Tutelare le reti significa tutelare la possibilità di preservare il livello di qualità della vita.
Da questa constatazione deriva la strategia europea della sicurezza cibernetica.
Lo strumento normativo è la direttiva «Nis» e lo sviluppo della stessa a livello nazionale. In Italia si tratta del decreto legislativo 18 maggio 2018, n. 65 (pubblicato sulla Gazzetta Ufficiale n.132 del 9 giugno 2018).
Il decreto 65/18 attua la direttiva (UE) 2016/1148 che delinea misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. «Nis» significa Network and Information Security e la direttiva nota con l’acronimo Nis pianifica un sistema globale di cybersecurity a tinte europee.
Che cosa può capitare se le infrastrutture tecnologiche saltano? È uno scenario apocalittico equivalente al peggiore dei cataclismi naturali. Peraltro nel mondo globalizzato la rete di difesa assume caratteri sovranazionali ed è tanto più efficace quanto più pianificato.
I passaggi della road map della cybersecurity tratteggiati dalla direttiva Nis sono questi:
– definizione degli obiettivi strategici;
– definizione delle opportune misure strategiche e regolamentari al fine di conseguire e mantenere un livello elevato di sicurezza delle reti e dei sistemi informativi;
– individuazione degli operatori di servizi essenziali nei settori reputati essenziali dal punto di vista della sicurezza cibernetica.
Individuazione degli operatori essenziali. Un operatore di servizio essenziale è il soggetto pubblico o privato che appartiene alle categorie elencate dalla direttiva (energia, trasporti, settore bancario, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali, infrastrutture dei mercati finanziari).
L’operatore essenziale è tale perchè fornisce un servizio reputato essenziale per il mantenimento di attività sociali ed economiche fondamentali.
I ministeri dello sviluppo economico, delle infrastrutture e dei trasporti, dell’economia e delle finanze, il ministero della salute e dell’ambiente e della tutela del territorio e del mare in collaborazione con le Regioni e Province autonome di Trento e di Bolzano hanno identificato gli Operatori di servizi essenziali (Ose) per ciascuno dei settori previsti dalla direttiva (energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile e infrastrutture digitali).
Si tratta di un totale di 465 entità, tra pubbliche e private (si veda ItaliaOggi dell’8 gennaio). Sono in corso di definizione anche le misure che gli Ose dovranno adottare per la gestione dei rischi e sulle modalità con cui valutarne la conformità.
Entro il 31 gennaio 2019, le autorità competenti devono comunicare alle organizzazioni identificate di essere state inquadrate quale Ose nazionale.
Il processo di identificazione ha carattere periodico e sarà ripetuto quando necessario e comunque ogni due anni, in modo da fotografare in maniera autentica l’emergere di eventuali nuove realtà Ose e far sì che tale identificazione individui correttamente i gangli vitali del Paese.
Protagonisti del sistema di sicurezza. In base alla direttiva, ogni Stato deve individuare una o più autorità nazionali in materia di sicurezza delle reti e dei sistemi informativi, con funzioni, tra le altre, di controllo circa l’applicazione della direttiva; designare un punto di contatto unico nazionale in materia di sicurezza delle reti e dei sistemi informativi («punto di contatto unico»); istituire uno o più Gruppi di intervento per la sicurezza informatica in caso di incidente (Computer security incident response team Csirt) responsabili del monitoraggio degli incidenti a livello nazionale, fornendo allarmi tempestivi, avvisi ed annunci con lo scopo di diffondere informazioni su rischi ed incidenti.
Il punto di contatto è tenuto a garantire la cooperazione transfrontaliera tra le autorità nazionali competenti in materia di sicurezza cibernetica e il gruppo di cooperazione, composto da rappresentati degli Stati, dalla Commissione e dall’Enisa (European Union for Network and Information Security Agency).
Il punto di contatto è chiamato ad operare su due fronti: a livello nazionale, per coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi, e a livello Ue per garantire la cooperazione transfrontaliera delle Autorità competenti italiane con quelle degli altri Stati membri e la partecipazione al Gruppo di cooperazione Nis.
L’agenda. Il decreto legislativo 65/2018 scrive più punti dell’agenda della sicurezza cibernetica.
Il primo è quello della promozione culturale per la gestione del rischio e della segnalazione degli incidenti tra i principali attori economici, in particolare gli operatori che forniscono servizi essenziali per il mantenimento di attività economiche e sociali e i fornitori di servizi digitali.
Il secondo obiettivo è il miglioramento delle capacità nazionali di cybersecurity.
Il terzo obiettivo è rafforzare la cooperazione a livello nazionale e in ambito Ue.
Nel dettaglio il decreto prevede l’adozione di misure tecnico-organizzative per ridurre il rischio e limitare l’impatto di incidenti informatici e l’obbligo di notifica di incidenti con impatto rilevante sulla fornitura dei servizi: questo allo scopo di assicurare la continuità dei servizi essenziali (energia, trasporti, salute, finanza ecc.) e dei servizi digitali (motori di ricerca, servizi cloud, piattaforme di commercio elettronico).
In parallelo, il decreto individua le autorità competenti Nis e i rispettivi compiti, svolti in cooperazione con le omologhe autorità degli altri stati europei, nonché il Computer security incident response team (Csirt) nazionale, con compiti di natura tecnica nella prevenzione e risposta ad incidenti informatici svolti in cooperazione con gli altri Csirt europei.
Csirt. Il decreto istituisce presso la Presidenza del consiglio dei ministri di un unico Computer security incident response team (Csirt).
Il Csirt italiano ha compiti di natura tecnica nella prevenzione e risposta ad incidenti informatici svolti in coordinamento con i Csirt europei.
Più specificatamente è responsabile per il monitoraggio, la gestione e l’analisi dinamica degli incidenti cibernetici, e per la diffusione di allerta e divulgazione di informazioni.
Strategia nazionale. Il decreto prevede l’adozione di una strategia nazionale di sicurezza cibernetica da parte del presidente del Consiglio dei Ministri. La strategia dovrà articolare misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, nonché un piano di valutazione dei rischi informatici e programmi di formazione e sensibilizzazione in materia di sicurezza informatica.
Misure di sicurezza. Gli operatori di servizi essenziali devono adottare misure tecnico-organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici.
Altrettanto deve essere realizzato dai fornitori di servizi digitali, i quali dovranno adottare misure tecniche-organizzative per la gestione dei rischi e per la riduzione dell’impatto di eventuali incidenti informatici.
Gli operatori di servizi essenziali e i fornitori di servizi digitali devono rendere note al Csirt le notifiche di incidenti informatici con impatto rilevante sui servizi forniti. Le notifiche vanno effettuate senza ingiustificato ritardo.
Fonte:
