Direttiva NIS 2016
La Direttiva NIS 2016/1148 (Network and Information Security), approvata nel 2016, è volta a stabilire le misure per la realizzazione in Europa di un ambiente digitale sicuro e affidabile. E' stata recepita col Decreto Legislativo 18 maggio 2018, n.65, pubblicato sulla Gazzetta Ufficiale n. 132 del 9 giugno 2018 (entrato in vigore il 24 giugno 2018).
La Direttiva impone agli Stati Membri dell'Unione europea l'adozione di una serie di misure di sicurezza comuni ed adeguate, imponendo nel contempo la notifica degli incidenti all'Autorità nazionale istituita allo scopo. Gli Stati dovranno anche promuovere la nascita di CSIRT (Computer Security Incident Response Team) nazionali (link al CSIRT Italia), sulla base del CERT-UE, per realizzare un network europeo che si occupi della sicurezza delle reti critiche.
Con tale normativa si punta a ridurre considerevolmente il rischio conseguente ad incidenti dei servizi essenziali, in considerazione del fatto che la crescente interoperabilità dei servizi e l'aumento esponenziale dei dispositivi connessi alla reti, oltre all'aumento delle minacce informatiche, determinano un considerevole aumento dei rischi. Ovviamente l'obiettivo è anche quello di uniformare la strategia di sicurezza tra i vari Stati dell'Unione europea.
Gli obiettivi sono, quindi:
- gestione dei rischi di sicurezza;
- potezione contro i cyber attacchi;
- individuazione di incidenti di cyber sicurezza;
- riduzione dell'impatto degli indidenti di cyber sicurezza.
La Direttiva NIS, e il decreto di attuazione, si rivolgono a due categorie:
- Operatori di servizi essenziali (OES) stabiliti nell'Unione europea, cioé i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l'economia nei settori sanitario, dell'energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali;
- Digital Service Provider (DSP), cioé le persone giuridiche che forniscono servizi della società dell'informazione (e-commerce, social network, cloud computing, motori di ricerca, financial provider, ecc...); le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale.
Non sono soggetti alla normativa i DSP con meno di 50 dipendenti o con fatturato inferiore ai 10 milioni l'anno (piccole e micro imprese).
Si tratta di soggetti che sono essenziali per la vita di tutti i giorni dei cittadini dellUnione. A tali soggetti la direttiva impone specifici oneri:
- adozione di misure tecniche e organizzative adeguate alle gestione dei rischi e a prevenire e minimizzare l'impatto degli incidenti di sicurezza delle reti e dei sistemi informativi, al fine di assicurare la continuità del servizio;
- obbligo di notifica, senza ingiustificato ritardo, degli incidenti di sicurezza con impatto rilevante, rispettivamante sulla continuità e la fornitura del servizio.
La notifica va fatta al Computer Security Incident Response Team (CSIRT) italiano, informandone anche l’Autorità competente NIS di riferimento. Il CSIRT italiano è istituito presso la Presidenza del Consiglio dei ministri mediante unificazione del Computer Emergency Response Team (CERT) Nazionale e del CERT-PA. Si occupa di:
- definire le procedure per la prevenzione e la gestione degli incidenti informatici;
- ricevere le notifiche di incidente, informandone il DIS (Dipartimento informazioni per la sicurezza) che coordina i servizi segreti;
- fornire al notificante le informazioni utili per le gestione efficace dell’incidente;
- informare gli altri Stati membri dell’UE eventualmente coinvolti dall’incidente, tutelando la sicurezza e gli interessi commerciali dell’OSE o del FSD nonché la riservatezza delle informazioni fornite.
Con il regolamento di esecuzione la Commissione europea ha fissato i criteri e le soglie per stabilire la rilevanza degli incidenti da parte dei DSP. Un incidente è rilevante se si verifica almeno una delle seguenti condizione:
- indisponibilità del servizio fornito per oltre 5.000.000 di ore utente;
- perdita di integrità, autenticità o riservatezza dei dati per oltre 100.000 utenti dell’UE;
- rischio per la sicurezza e/o l’incolumità pubblica, o in termini di perdite di vite umane;
- danni materiali superiori a 1.000.000 di EUR per almeno un utente nell’UE.
Direttiva NIS 2 (2023)
Nel maggio del 2002 l'Unione europea ha presentato i piani per una riforma della Direttiva NIS al fine di rafforzare la sicurezza europea, in particolare nei settori sensibili come quello bancario, energetico, delle telecomunicazioni e dei trasporti, oltre alle pubbliche amministrazioni. La direttiva stabilisce un elevato livello comune di cibersicurezza nell’Unione e prevede misure giuridiche per aumentare il livello generale di cibersicurezza nell’UE, garantendo:
- preparazione degli Stati membri, richiedendo loro di essere adeguatamente attrezzati. Ad esempio, con un Computer Security Incident Response Team (CSIRT) e un’autorità nazionale competente per le reti e i sistemi informativi (NIS),
- cooperazione tra tutti gli Stati membri, istituendo un gruppo di cooperazione per sostenere e facilitare la cooperazione strategica e lo scambio di informazioni tra gli Stati membri.
- una cultura della sicurezza in tutti i settori che sono vitali per la nostra economia e società e che dipendono fortemente dalle TIC, come l’energia, i trasporti, l’acqua, le banche, le infrastrutture dei mercati finanziari, l’assistenza sanitaria e le infrastrutture digitali.
La direttiva NIS 2 è entrata in vigore nel 2023.
