Direttiva NIS: cos’è e cosa prevede

Negli ultimi mesi si è parlato molto della direttiva NIS (Network and Information Security). Ma cos’è nello specifico? Chi riguarderà e quale sarà la sua timeline? Vediamo brevemente di cosa si tratta.

Il 6 luglio scorso il Parlamento Europeo ha adottato la direttiva sulla sicurezza dei sistemi delle reati e dell’informazione, NIS. Essa rappresenta il primo insieme di regole sulla sicurezza informatica univoco a livello dell’Unione Europea.

L’obiettivo della direttiva è raggiungere un livello elevato di sicurezza dei sistemi, delle reti e delle informazioni comune a tutti i Paesi membri dell’UE.

I tre punti chiave della direttiva NIS sono:

  • Migliorare le capacità di cyber security dei singoli Stati dell’Unione;
  • Aumentare il livello di cooperazione tra gli Stati dell’Unione;
  • Obbligo di gestione dei rischi e di riportare gli incidenti di una certa entità da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali.

Relativamente al miglioramento delle capacità dei singoli Stati dell’Unione, la direttiva NIS sottolinea alcuni aspetti necessari per rispettare i criteri adottati. Ogni Stato infatti dovrà dotarsi, qualora già non l’avesse, di una strategia nazionale di cyber security che definisca gli obiettivi strategici, le politiche adeguate e le misure di regolamentazione. Tra gli aspetti che una strategia nazionale dovrebbe includere vengono citati gli obiettivi strategici, le priorità nazionali, la governance, l’individuazione di misure proattive, di risposta e di recovery; sensibilizzazione, formazione ed istruzione; incentivazione della cooperazione tra settore pubblico e settore privato; lista degli attori coinvolti nella attuazione della strategia.

Sempre in questo punto la direttiva NIS richiede agli Stati di designare una o più autorità competenti per il controllo dell’applicazione della direttiva stessa a livello nazionale. Un singolo punto di contatto dovrà essere designato da ognuno degli Stati membri, con il compito di assicurare la cooperazione internazionale e di collegarsi con gli altri Stati attraverso meccanismi di cooperazione identificati della direttiva stessa.

Ogni Stato dovrà infine designare uno o più CSIRT (Computer Security Incident Response Team) responsabili del monitoraggio degli incidenti a livello nazionale, fornendo allarmi tempestivi, avvisi ed annunci con lo scopo di diffondere informazioni su rischi ed incidenti. Dovranno inoltre fornire analisi sui rischi e incidenti e aumentare il grado di consapevolezza. Fondamentale anche per i CSIRT è la cooperazione internazionale e l’information sharing.

La cooperazione tra i vari enti dei singoli Stati membri è un punto veramente fondamentale della direttiva NIS. Proprio per questo è stato stabilito un gruppo di cooperazione che faciliti i rapporti tra gli Stati membri e che aumenti la fiducia. Questo gruppo di cooperazione sarà composto da rappresentati degli Stati membri, dalla Commissione e dall’ENISA (European Union for Network and Information Security Agency). Le quattro aree di lavoro del gruppo saranno: pianificazione, guida, segnalazione e condivisione.

L’ultimo dei punti principali della direttiva riguarda gli operatori dei servizi essenziali per la Nazione e i fornitori di servizi digitali.

Gli operatori di servizi essenziali sono aziende pubbliche o private che hanno un ruolo importante per la società e l’economia, quelli che comunemente vengono chiamate “infrastrutture critiche”. La direttiva NIS obbligherà queste entità a dotarsi di misure di sicurezza appropriate e di notificare all’autorità nazionale competente gravi incidenti di sicurezza secondo parametri di numero di utenti coinvolti, durata dell’incidente e diffusione geografica. Le misure di sicurezza richieste comprendono: prevenzione dei rischi; garantire la sicurezza dei sistemi, delle reti e delle informazioni; capacità di gestire gli incidenti. Queste entità verranno identificate direttamente da ogni Stato membro, all’interno dei seguenti ambiti: energia, trasporti, banche e società finanziarie, salute, acqua ed infrastrutture digitali. I criteri che determineranno quali enti saranno inclusi in questa lista sono: l’essenzialità del servizio offerto per il mantenimento di attività critiche in ambito economico e sociale; il servizio dipende da sistemi informatici; se l’incidente di sicurezza rischia di avere effetti gravi e significativi sulla fornitura di un servizio essenziale.

Anche i fornitori di servizi digitali saranno tenuti, secondo la direttiva NIS, ad attuare misure di sicurezza appropriate e a notificare incidenti rilevanti. Oltre alle misure già previste per gli operatori di servizi essenziali, le misure di sicurezza relative ai fornitori di servizi digitali prevedono alcuni fattori specifici, come ad esempio la sicurezza dei sistemi e degli impianti, la gestione della continuità operativa, il monitoraggio e i test e la conformità a norme internazionali. Per quanto riguarda i parametri per la valutazione di un incidente rilevante che va segnalato, vi sono oltre a quelli già elencati prima, anche l’entità dell’interruzione del servizio e l’impatto sulle attività economiche e sociali. Tra i fornitori di servizi digitali la direttiva NIS cita i mercati on-line, i servizi di cloud e i motori di ricerca. Non rientrano in questa categoria invece le piccole e medie imprese.

Qual è la timeline degli step più importanti previsti dalla direttiva NIS?

L’entrata in vigore è prevista già dall’agosto del 2016. A febbraio 2017 il gruppo di lavoro inizierà le attività, per arrivare a febbraio 2018 a stabilire il programma di lavoro. Ad agosto 2017 i fornitori di servizi digitali dovranno adottare i requisiti minimi di sicurezza e di notifica degli incidenti. Lo step più importante quello di maggio 2018: l’integrazione della direttiva NIS all’interno degli ordinamenti nazionali. A novembre dello stesso anno ogni Stato membro dovrà identificare gli operatori di servizi essenziali. Nel 2019 la commissione europea valuterà la coerenza dell’identificazione degli operatori di servizi essenziali da parte degli Stati membri e nel 2021 verrà esaminato il funzionamento delle direttiva con particolare attenzione alla cooperazione strategica e operativa degli Stati e l’applicazione da parte dei gestori di servizi essenziali e dei fornitori di servizi digitali.

La direttiva NIS quindi, rappresenta di sicuro un fondamentale passo verso un mercato unico digitale, un opportunità di crescita economica oltre che una difesa da minacce sempre più presenti nella vita quotidiana dei cittadini e delle imprese europee. Ovviamente però la reale efficacia della direttiva dipenderà da come sarà implementata dagli Stati membri, e da quanto questa implementazione sarà in linea con gli obiettivi originali della direttiva stessa.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here