Press "Enter" to skip to content

La Direttiva NIS e il programma di Cyber Resilienza

La Direttiva NIS (Network and Information Systems) è una direttiva europea adottata nel 2016 (Direttiva 2016/1148) che mira a garantire un elevato livello di sicurezza delle informazioni nei servizi di società dell’informazione (NIS) all’interno dell’UE. L’attuazione della direttiva NIS richiede agli Stati membri dell’UE di adottare le misure necessarie per garantire la sicurezza dei sistemi informatici e la protezione contro gli attacchi informatici. È stata recepita dal nostro ordinamento attraverso il decreto legislativo 18 maggio 2018 n.65 in vigore dal 24 giugno 2018.

A chi si rivolge

La direttiva NIS si rivolge ai fornitori di servizi di società dell’informazione (FSD), come i fornitori di servizi online, i provider di infrastrutture critiche e altri operatori del settore. Gli Stati membri sono tenuti a garantire che questi operatori abbiano adottato misure di sicurezza appropriate per prevenire e gestire gli attacchi informatici e a nominare un’autorità di controllo per monitorare il rispetto della direttiva. Nel dettaglio agli operatori e fornitori di servizi è richiesto di:

  • prendere misure tecniche e organizzative per garantire la sicurezza delle loro reti e dei loro sistemi informatici;
  • tenere conto dei recenti sviluppi e considerare i potenziali rischi per i loro sistemi;
  • adottare provvedimenti per prevenire incidenti di sicurezza o, in alternativa, minimizzare i loro effetti per garantire la continuità del servizio;
  • comunicare tempestivamente all’autorità competente qualsiasi incidente di sicurezza che abbia un impatto significativo sulla continuità del servizio;

Settori di riferimento

I settori interessati dal decreto legislativo NIS sono esclusivamente i settori specifici indicati dalla Direttiva, come l’energia, i trasporti, le banche, i mercati finanziari, la sanità, la fornitura e distribuzione di acqua potabile e le infrastrutture digitali, così come i motori di ricerca, i servizi cloud e le piattaforme di commercio elettronico.

Come ottenere la conformità alla Direttiva NIS – Strategia nazionale di sicurezza cibernetica

Il decreto di recepimento della Direttiva NIS richiede la creazione di una strategia nazionale di sicurezza cibernetica da parte del Presidente del Consiglio dei Ministri. La Direttiva e il decreto stabiliscono che questa strategia debba includere piani per la preparazione, risposta e recupero di incidenti informatici, la valutazione dei rischi informatici, programmi di formazione e sensibilizzazione sulla sicurezza informatica, nonché un piano di valutazione dei rischi e di ricerca e sviluppo in materia di cybersecurity. Nel dettaglio, agli operatori di servizi di società dell’informazione è richiesto di seguire questi passi:

  1. Comprendere i requisiti della direttiva NIS e comprendere gli obblighi a cui sono soggetti.
  2. Analizzare e valutare i rischi per i loro sistemi e reti e identificare i possibili incidenti di sicurezza.
  3. Adottare misure di sicurezza tecniche e organizzative per garantire la sicurezza delle loro reti e dei loro sistemi informatici.
  4. Valutare regolarmente la sicurezza: valutare regolarmente la sicurezza dei loro sistemi e reti e adattare le misure di sicurezza se necessario.
  5. Formare il personale sulla sicurezza informatica e sulla conformità alla direttiva NIS.
  6. Monitorare gli incidenti di sicurezza e adottare misure per prevenirne quelli futuri.
  7. Comunicare con l’autorità competente tempestivamente in caso di incidenti di sicurezza che hanno un impatto significativo sulla continuità del servizio.

Riassumendo gli operatori dovrebbero implementare un programma di Cyber Resilienza che partendo dall’adozione di difese solide per la Cyber sicurezza e di misure preventive adeguate contro il cyber rischio; vengano testate quotidianamente attraverso strumenti e sistemi adeguati cosi da gestire e segnalare tempestivamente incidenti ed eventuali violazioni di dati.

In conclusione dal momento che non esiste ancora una certificazione ad hoc per la sicurezza cibernetica, il possesso di un sistema di gestione integrato che combini gli standard ISO27001 e ISO22301 rappresenta attualmente una delle migliori best practices per la gestione del rischio cibernetico.

Conseguenze per la non-conformità con la Direttiva NIS

La non conformità con la Direttiva NIS può comportare sanzioni e multe per gli operatori che non rispettano le disposizioni della direttiva. La quantità delle sanzioni dipende dalle circostanze specifiche e dalla gravità della non conformità. Gli Stati membri dell’UE sono responsabili dell’applicazione della direttiva NIS e possono imporre sanzioni e multe ai fornitori di servizi di società dell’informazione che non adempiono agli obblighi previsti dalla direttiva.

Inoltre, una mancata conformità alla Direttiva NIS può avere conseguenze negative per la reputazione e la fiducia dei consumatori nei confronti dell’operatore che non rispetta la direttiva. Ciò può comportare perdite finanziarie e una riduzione delle opportunità di business per l’operatore.

È quindi importante che gli operatori rispettino gli obblighi previsti dalla direttiva per garantire la sicurezza dei sistemi informatici e proteggere i sistemi critici dell’UE. L’Italia con il decreto legislativo 65/2018 ha previsto delle sanzioni amministrative fino a 150.000 euro per gli operatori e fornitori di servizi che non rispetteranno gli obblighi previsti dal decreto.

NIS 2 – Novità e approvazione

Il 27 dicembre 2022 è stata pubblicata la Direttiva NIS 2 che in realtà prevede la sostituzione della vecchia direttiva pur avendo molte similitudini con la prima. Una delle più importanti innovazioni introdotte dalla proposta è l’estensione degli obblighi di sicurezza informatica a settori che non erano inclusi nella prima direttiva, come l’industria dei rifiuti, aerospaziale, alimentare, chimica, postale, medica e tecnologica, e la pubblica amministrazione. Alcuni di questi settori sono già considerati come parte del perimetro di sicurezza cibernetica, ma non erano menzionati nella Direttiva NIS. Questo significa che la lista di operatori soggetti alla normativa potrebbe espandersi al di là dei 465 attualmente identificati.

Come la vecchia direttiva, la Direttiva NIS 2 richiede che gli operatori adottino misure tecnico-organizzative adeguate a gestire i rischi e prevenire gli incidenti informatici, ma viene inoltre fornita una lista di misure specifiche che devono essere adottate, come l’utilizzo di crittografia e controlli sulla sicurezza informatica dei fornitori. Inoltre l’obbligo di notifica degli incidenti informatici con impatto rilevante sui servizi forniti è presente anche nella nuova Direttiva, ma viene regolamentato in modo più dettagliato. Pertanto, le procedure di notifica previste dalle linee guida delle autorità NIS dovranno essere parzialmente aggiornate.

Considerando che la prima direttiva NIS è stata approvata in tempi relativamente brevi (circa tre anni) e che al tempo richiesto per implementare la Nuova Direttiva va aggiunto il tempo per adattarla e adottarla a livello nazionale; è possibile ipotizzare che le nuove norme NIS diventeranno pienamente applicabili solo tra quattro o cinque anni.

 

Be First to Comment

Lascia un commento