Giro di vite alla cyber-security

Lo Sviluppo economico seleziona 465 operatori di servizi essenziali nei settori strategici
Per i colossi del web obbligo di trasparenza sugli attacchi
di Luigi Chiarello

L’Italia ha identificato i suoi operatori di servizi essenziali (Ose), primo concreto step per l’applicazione della direttiva europea n. 2016/1148, nota come «NIS», a garanzia della cyber-security nazionale. Si tratta di 465 soggetti, selezionati tra pubblico e privato, attivi in diversi settori sensibili: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, comparto sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali. A darne notizia, con una nota di fine anno, è stato il ministero dello Sviluppo economico, presso i cui uffici è costituito un elenco nazionale degli Ose. La direttiva, va ricordato, è stata recepita in Italia col dlgs n. 65 del 18 maggio 2018, pubblicato sulla Gazzetta Ufficiale n. 132 del 9 giugno 2018 e in vigore dal 24 giugno successivo. Il decreto dispone che gli operatori vengano selezionati in base a tre criteri:

1) che il soggetto fornisca un servizio essenziale per il mantenimento di attività sociali o economiche fondamentali;
2) che la fornitura di questo servizio dipenda dalla rete e dai sistemi informativi;
3) che un eventuale incidente avrebbe effetti negativi molto importanti sulla fornitura del servizio stesso.
Gli operatori selezionati ora dovranno adottare misure di gestione dei rischi e modalità attraverso cui valutare la conformità dei propri processi alla direttiva europea. In sostanza, dovranno prevenire gli incidenti informatici e, se sottoposti ad attacco hacker, dovranno tempestivamente segnalarlo all’autorità competente. Obblighi questi, che riguardano anche i giganti del web: i cosiddetti «Fornitori di servizi digitali (Fsd), che effettuano attività di e-commerce, motore di ricerca, e cloud computing. In sostanza, colossi come Google, Microsoft, Amazon. E non è finita.
Il prossimo step è il 31 gennaio. Entro questa data le autorità nazionali competenti dovranno comunicare ai 465 soggetti individuati di essere stati identificati come «Ose nazionale»; il processo di identificazione degli operatori ha carattere periodico e potrà essere ripetuto ogni volta sia ritenuto necessario. In ogni caso, ogni due anni, spiega il dicastero guidato da Luigi Di Maio, «in modo da fotografare in maniera autentica l’emergere di nuove realtà» con i medesimi requisiti e far sì che questa identificazione «individui correttamente i “gangli vitali” del Paese».

Ad oggi, secondo il Mise, il Belpaese, «assieme a Germania e Gran Bretagna, è nel gruppo di testa degli stati membri dell’Unione, che hanno concretamente dato seguito agli adempimenti della direttiva Nis»; questa punta a costituire e blindare un ecosistema cyber, i cui snodi fondamentali di tutela sono stati individuati:
– nel Computer security incident response team (Csirt), istituito presso la Presidenza del consiglio, attualmente operante come coordinamento tra Cert-Nazionale e Cert-PA;
– e nel Punto di contatto unico, costituito presso il Dipartimento delle informazioni per la sicurezza (DIS).
In particolare, il primo organismo è stato individuato come responsabile per il monitoraggio, la gestione e l’analisi dinamica degli incidenti cibernetici, e per la diffusione di allerta e divulgazione di informazioni. Dunque, il Csirt è il soggetto individuato dal dlgs 65/2018 a cui notificare incidenti informatici e attacchi via web.
Al contrario, la seconda task force è chiamata ad operare su due fronti:
– a livello nazionale, per coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi;
– a livello europeo, per garantire la cooperazione transfrontaliera tra le autorità competenti italiane e quelle degli altri stati Ue e la partecipazione al gruppo di cooperazione NIS.
Secondo il ministero dello Sviluppo economico, la direttiva a tutela della cybersecurity è ineludibile, visti «gli sviluppi tecnologici attesi nel prossimo futuro per certi versi destinati a moltiplicare pericolosità ed impatto». Ed è un valore aggiunto, visto che ha stimolato in tutti gli stati membri dell’Unione l’esigenza di costituzione di un’architettura europea di cybersecurity basata su tre pilastri: approccio coordinato, aumento della consapevolezza, partnership pubblico-privato.

Fonte: