Nuove frontiere si sono aperte con l’informatica ed in particolare da tempo parliamo di un “mondo virtuale”, vera e propria scoperta del 21°esimo secolo. Come in tutti i mondi, compaiono nuove regole e nuovi scenari, sintetizzabili con il vecchio assioma del bene contrapposto al male, nel nostro caso il bene “internet” contro il male “deep-web”. Diventa fondamentale acquisire nuove conoscenze e competenze, per difendere i nostri dati e difenderci dagli attacchi dei nuovi pirati (o corsari) informatici, che infestano la navigazione del web. Ma cosa si sta facendo? E in Italia?
Per fortuna non siamo soli, da tempo nel mondo ed in particolare a livello europeo, sono stati identificati i pericoli e ci si sta organizzando per difendersi e difenderci. E’ del 16 maggio 2018 il Decreto Legislativo (approvato in Consiglio dei Ministri) per attuare in Italia la Direttiva NIS. E’ un approccio soft: si limita ad incorporare, nel decreto legislativo, quanto già stabilito dalla Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi, meglio nota come Direttiva NIS.
Quello italiano è modello intermedio tra quello francese, fortemente centralista (con autorità competente unica) e quello decentrato, dei paesi nordici (i.e. Svezia) dove i compiti normativi e di vigilanza, in materia di cybersecurity, sono esercitati da una serie di agenzie pubbliche, competenti per specifici settori. Il Dipartimento delle Informazioni per la Sicurezza (DIS) è designato quale punto di contatto unico (Articolo 8 della Direttiva). Al DIS spettano le funzioni di collegamento verso l’Unione europea e di coordinamento con le autorità competenti, in materia di cybersecurity, negli altri Stati membri UE.
Come autorità competenti all’attuazione della normativa NIS (ed alla vigilanza sul rispetto della stessa), sono designati i cinque Ministeri (sviluppo economico, infrastrutture e trasporti, economia, salute, ambiente), ciascuno responsabile per uno o più settori rientranti nelle proprie aree di competenza. I settori compresi nell’ambito di applicazione del decreto attuativo, sono solo quelli espressamente previsti dalla Direttiva (energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali; nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico).
Le pubbliche amministrazioni che offrono servizi nei settori sopra elencati (ad esempio, trasporti, sanità e distribuzione di acqua potabile) saranno sottoposte alla normativa NIS, se identificate quali operatori di servizi essenziali. Inoltre, le pubbliche amministrazioni rimarranno soggette a quanto disposto dalla Circolare AgID n. 2/2017, recante “Misure minime di sicurezza ICT per le pubbliche amministrazioni”.
La strategia nazionale di sicurezza cibernetica. L’Articolo 7 della Direttiva (ed il Decreto conseguente), prevede l’adozione di una strategia nazionale di sicurezza cibernetica, da parte del Presidente del Consiglio dei Ministri. La strategia dovrà predisporre, in particolare, misure di preparazione, risposta e recupero dei servizi, a seguito di incidenti informatici atrraverso la definizione di un piano di valutazione dei rischi informatici, programmi di formazione e di sensibilizzazione in materia di sicurezza informatica.
Gran parte di questi elementi sono stati già affrontati, per grandi linee, nella vigente strategia nazionale di sicurezza cibernetica, delineata nel Quadro strategico nazionale per la sicurezza dello spazio cibernetico del 2013, ulteriormente sviluppata dal Piano nazionale per la protezione cibernetica e la sicurezza informatica del 2017. Sarà però necessario aggiornare tale strategia, per far sì che tutti gli elementi, di cui all’Articolo 7 della Direttiva, vengano affronti in maniera specifica e dettagliata, in conformità con i dettami comunitari.
Il decreto prevede l’istituzione (c/o Presidenza del Consiglio dei Ministri) di un unico Computer Security Incident Response Team (in italiano: CSIRT), che andrà a sostituire, fondendoli, gli attuali CERT Nazionale (c/o Ministero dello Sviluppo Economico) e CERT-PA (c/o l’Agenzia per l’Italia Digitale). Il processo di fusione potrebbe essere di non facile gestione. In ogni caso, lo CSIRT italiano avrà compiti di natura tecnica, nella prevenzione e risposta ad incidenti informatici, in cooperazione con gli altri CSIRT europei.
L’identificazione degli operatori di servizi essenziali, ripropone i criteri (Articolo 5) della Direttiva:
1) fornitura di un servizio essenziale per il mantenimento di attività sociali e/o economiche fondamentali;
2) dipendenza di tale servizio dalla rete e dai sistemi informativi;
3) effetti negativi rilevanti sulla fornitura di tale servizio, in caso di incidente informatico; rilevanza da valutarsi secondo i criteri specificati all’Articolo 6 della Direttiva (ed Art. 5 del decreto).
Questi sono i criteri che le autorità competenti NIS (ossia i vari Ministeri), dovranno seguire per identificare gli operatori di servizi essenziali, per ciascun settore di cui all’Allegato II. Il decreto precisa che, nell’individuazione di tali operatori, le autorità competenti NIS dovranno tenere conto delle indicazioni del Gruppo di Cooperazione, istituito dall’Articolo 11 della Direttiva (composto da rappresentati degli Stati membri, della Commissione europea e dell’ENISA – European Union for Network and Information Security Agency).
Il tutto per presidiare i dati nazionali (e sensibili), dai rischi della navigazione web e dai pirati/corsari che la infestano. Il Cyberspazio da oggi è un po’ più presidiato. Anche da noi.
BIBLIOWEB:
Regolamento di esecuzione (UE) 2018/151 della Commissione, del 30 gennaio 2018, recante modalità di applicazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio per quanto riguarda l’ulteriore specificazione degli elementi che i fornitori di servizi digitali devono prendere in considerazione ai fini della gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi e dei parametri per determinare l’eventuale impatto rilevante di un incidente https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32018R0151 (PDF)
DECRETO LEGISLATIVO 18 maggio 2018, n. 65 Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. (18G00092) (GU Serie Generale n.132 del 09-06-2018) Entrata in vigore del provvedimento: 24/06/2018 (PDF)
http://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2018-06-09&atto.codiceRedazionale=18G00092&elenco30giorni=false
AgID https://www.agendadigitale.eu/sicurezza/attuazione-della-direttiva-nis-lo-lo-schema-decreto-legislativo/
AGENZIA PER L’ITALIA DIGITALE – CIRCOLARE 18 aprile 2017, n. 2/2017 Sostituzione della circolare n. 1/2017 del 17 marzo 2017, recante: «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)». (17A03060) (GU Serie Generale n.103 del 05-05-2017) http://www.gazzettaufficiale.it/eli/id/2017/05/05/17A03060/sg
La NIS in pillole (in PDF-FlipBook allegato)
Cibersecurity & Blockchain in Sanità http://newmicro.altervista.org/?p=4646
Non c’è Privacy senza DPIA http://newmicro.altervista.org/?p=5089
Privacy & Rischio http://newmicro.altervista.org/?p=4187
L’eHealth è la nuova frontiera della Sanità http://newmicro.altervista.org/?p=4372
Sinossi della Direttiva (UE) 2016/1148, cd. Direttiva NIS (PDF-FlipBook)
Sicurezza Digitale: Decreto Legislativo 18 maggio 2018, n. 65 e Regolamento di Esecuzione (UE) 2018/151, 30 gennaio 2018 (PDF)
Articoli correlati:
DIC
Per qualsiasi comunicazione tecnica riguardante il presente Sito Web, potete contattare il WEBMASTER inviando un messaggio di posta elettronica. Grazie.
About the Author
Email: [email protected]