Normativa

Shape 5 Live Search

logo

La Direttiva NIS 2016/1148 (Network and Information Security), approvata nel 2016, è volta a stabilire le misure per la realizzazione in Europa di un ambiente digitale sicuro e affidabile. E' stata recepita col Decreto Legislativo 18 maggio 2018, n.65, pubblicato sulla Gazzetta Ufficiale n. 132 del 9 giugno 2018 (entrato in vigore il 24 giugno 2018). 

La Direttiva impone agli Stati Membri dell'Unione europea l'adozione di una serie di misure di sicurezza comuni ed adeguate, imponendo nel comtepo la notifica degli incidenti all'Autorità nazionale istituita allo scopo. Gli Stati dovranno anche promuovere la nascita di CSIRT (Computer Security Incident Response Team) nazionali, sulla base del CERT-UE, per realizzare un network europeo che si occupi della sicurezza delle reti critiche. 

Con tale normativa si punta a ridurre considerevolmente il rischio conseguente ad incidenti dei servizi essenziali, in considerazione del fatto che la crescente interoperabilità dei servizi e l'aumento esponenziale dei dispositivi connessi alla reti, oltre all'aumento delle minacce informatiche, determinano un considerevole aumento dei rischi. Ovviamente l'obiettivo è anche quello di uniformare la strategia di sicurezza tra i vari Stati dell'Unione europea. 

Gli obiettivi sono, quindi: 
- gestione dei rischi di sicurezza; 
- potezione contro i cyber attacchi; 
- individuazione di incidenti di cyber sicurezza; 
- riduzione dell'impatto degli indidenti di cyber sicurezza. 

La Direttiva NIS, e il decreto di attuazione, si rivolgono a due categorie: 
- Operatori di servizi essenziali (OES) stabiliti nell'Unione europea, cioé i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l'economia nei settori sanitario, dell'energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali;   
- Digital Service Provider (DSP), cioé le persone giuridiche che forniscono servizi della società dell'informazione (e-commerce, social network, cloud computing, motori di ricerca, financial provider, ecc...); le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale.
Non sono soggetti alla normativa i DSP con meno di 50 dipendenti o con fatturato inferiore ai 10 milioni l'anno (piccole e micro imprese). 

Si tratta di soggetti che sono essenziali per la vita di tutti i giorni dei cittadini dellUnione. A tali soggetti la direttiva impone specifici oneri: 
- adozione di misure tecniche e organizzative adeguate alle gestione dei rischi e a prevenire e minimizzare l'impatto degli incidenti di sicurezza delle reti e dei sistemi informativi, al fine di assicurare la continuità del servizio; 
- obbligo di notifica, senza ingiustificato ritardo, degli incidenti di sicurezza con impatto rilevante, rispettivamante sulla continuità e la fornitura del servizio. 

La notifica va fatta al Computer Security Incident Response Team (CSIRT) italiano, informandone anche l’Autorità competente NIS di riferimento. Il CSIRT italiano è istituito presso la Presidenza del Consiglio dei ministri mediante unificazione del Computer Emergency Response Team (CERT) Nazionale e del CERT-PA. Si occupa di: 
- definire le procedure per la prevenzione e la gestione degli incidenti informatici; 
- ricevere le notifiche di incidente, informandone il DIS (Dipartimento informazioni per la sicurezza) che coordina i servizi segreti;  
- fornire al notificante le informazioni utili per le gestione efficace dell’incidente; 
- informare gli altri Stati membri dell’UE eventualmente coinvolti dall’incidente, tutelando la sicurezza e gli interessi commerciali dell’OSE o del FSD nonché la riservatezza delle informazioni fornite. 

Con il regolamento di esecuzione la Commissione europea ha fissato i criteri e le soglie per stabilire la rilevanza degli incidenti da parte dei DSP. Un incidente è rilevante se si verifica almeno una condizione: 
- indisponibilità del servizio fornito per oltre 5.000.000 di ore utente; 
- perdita di integrità, autenticità o riservatezza dei dati per oltre 100.000 utenti dell’UE; 
- rischio per la sicurezza e/o l’incolumità pubblica, o in termini di perdite di vite umane; 
- danni materiali superiori a 1.000.000 di EUR per almeno un utente nell’UE.