Il consiglio dei ministri ha varato il decreto con cui recepisce in via definitiva la direttiva (UE) 2016/1148 (la cosiddetta direttiva NIS – Network and Information Security) sulla sicurezza delle reti e dei sistemi informativi nell’Unione, che per la prima volta affronta in modo organico e trasversale gli aspetti in materia di cyber security, rafforzando la resilienza e la cooperazione in Europa. La scadenza per il recepimento era il 9 maggio 2018, il Governo italiano ha dato l’ok ieri, una settimana dopo.
Sicurezza delle reti e dei sistemi informativi
Il decreto ha tre obiettivi principali:
- promuovere una cultura di gestione del rischio e di segnalazione degli incidenti tra i principali attori economici, in particolare gli operatori che forniscono servizi essenziali per il mantenimento di attività economiche e sociali e i fornitori di servizi digitali;
- migliorare le capacità nazionali di cyber security;
- rafforzare la cooperazione a livello nazionale e in ambito Ue.
Allo scopo di assicurare la continuità dei servizi essenziali (energia, trasporti, salute, finanza, ecc.) e dei servizi digitali (motori di ricerca, servizi cloud, piattaforme di commercio elettronico), il decreto prevede l’adozione di misure tecnico-organizzative per ridurre il rischio e limitare l’impatto di incidenti informatici e l’obbligo di notifica di incidenti con impatto rilevante sulla fornitura dei servizi. Parallelamente, il testo individua le Autorità competenti “NIS” e i rispettivi compiti, svolti in cooperazione con le omologhe Autorità degli altri Stati membri, nonché il Computer Security Incident Response Team (CSIRT) nazionale, con compiti di natura tecnica nella prevenzione e risposta ad incidenti informatici svolti in cooperazione con gli altri CSIRT europei.
Il testo tiene conto dei pareri espressi dalle Commissioni speciali della Camera dei deputati e del Senato della Repubblica e dalla Conferenza unificata.
La Commissione Europea ha emanato la direttiva Nis per delineare la struttura e i compiti che l’organizzazione difensiva di ciascuno Stato membro, deve realizzare in maniera unitaria e in stretto collegamento con il centro europeo, per la difesa e protezione dalle minacce cibernetiche. Una volta realizzato, il sistema (la Direttiva ne prevede il completamento entro il giugno 2018), l’U.E. disporrà di una difesa unitaria, integrata per la difesa ed il contrasto nei confronti della minaccia cibernetica, cioè di quella minaccia più pericolosa e di gran lunga più importante, tuttora massicciamente operante nei confronti del sistema Italia.
Per il Governo italiano, cosi come per il Governo di tutti gli altri Paesi membri, si tratta ora di realizzare quanto previsto dalla direttiva NIS, dando vita, in tal modo, ad un effettivo sistema di difesa unitario, nei confronti della minaccia cyber.
Direttiva Nis, quello che c’è da sapere in sintesi
La Direttiva NIS è in vigore da agosto 2016 e in attesa di recepimento dagli stati membri della UE;
- gli stati membri hanno 21 mesi per adottare le necessarie misure di implementazione a livello di legislazione nazionale e 6 mesi supplementari per identificare gli operatori delle infrastrutture critiche nazionali;
- la scadenza per il recepimento è il 9 maggio 2018;
- nella transizione, il gruppo di cooperazione e la rete CSIRT sono operativi dal 9 febbraio 2017.
L’architettura NIS europea è riassunta nell’infografica: