Il Consiglio d’Europa ha approvato lo scorso 17 maggio 2016 la Network & Information Security Directive (“NIS Directive”), Direttiva nata per aumentare la resilienza delle infrastrutture critiche EU a possibili incidenti di natura cyber, e per evitare il rischio e per impedire ripercussioni gravi a livello di sistema in caso di interruzione di un singolo servizio.
Originariamente proposta dalla Commissione EU il 7 febbraio 2013, come parte fondante la strategia EU per la cyber security, oltre che per migliorare la preparazione e la cooperazione degli stati membri in questo ambito, in dicembre 2015 la Direttiva ha ricevuto il via libera da Parlamento, Consiglio e Commissione europea, e in gennaio 2016, quello dalla Commissione Mercato Interno del Parlamento.
Cosa prevede la Direttiva per la Cybersecurity?
La Direttiva NIS impone diversi obblighi agli operatori che forniscono servizi essenziali, una definizione che dal 2013 ha dato adito a numerose discussioni, ma che attualmente copre tutti i seguenti settori: “energy, transport, banking, financial market infrastructures, health, drinking water supply, distribution, digital infrastructure sectors”. Per quanto riguarda i Digital service provider (“ online marketplaces, online search engines, cloud computing services…” ) avranno degli obblighi anche se meno forti rispetto a quelli per gli altri operatori di servizi essenziali. L’obiettivo è avere per questi operatori – che sono spesso attivi in più Paesi – una gestione omogenea attraverso tutta l’EU.
La Direttiva NIS richiede inoltre che i Paesi Membri dell’EU si dotino di una strategia nazionale e di un insieme di azione e misure per ottenere un buon livello di sicurezza delle reti e dei sistemi ICT. Dovrà essere designata a livello nazionale un’autorità competente per l’Information security e un CERT nazionale in grado di gestire i rischi cyber e in particolare di rispondere in caso di incidenti gravi che coinvolgono le infrastrutture critiche del Paese.
Importanti anche gli aspetti che porteranno alla costituzione di una rete di cooperazione (Co-operation Network) in grado di favorire una risposta sistemica e capacità di gestione rapida di incidenti e info-sharing tra Autorità, CERT nazionali e a livello EU.
Qual è la situazione italiana?
In Italia va ricordato che già dal 2013 disponiamo di un Quadro Strategico Nazionale e di un Piano Nazionale per la protezione cibernetica e la sicurezza informatica, con i seguenti obiettivi:
- Miglioramento, secondo un approccio integrato, delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati.
- Potenziamento delle capacità di difesa delle Infrastrutture Critiche nazionali e degli attori di rilevanza strategica per il sistema Paese.
- Incentivazione della cooperazione tra istituzioni ed imprese nazionali.
- Promozione e diffusione della cultura della sicurezza cibernetica.
- Rafforzamento delle capacità di contrasto alla diffusione di attività e contenuti illegali online.
- Rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica.
Inoltre è stato istituito un CERT nazionale e lo scorso anno, oltre allo stanziamento di 150 milioni di euro, è stata proposta una struttura dedicata alla Cybersecurity sotto la guida del consulente Marco Carrai, che dopo molte discussioni dovrebbe essere in via di costituzione.
A conferma dell’interesse del Governo italiano per la tematica, anche il fatto che sia stato deciso, con un accordo tra l’Università di Genova e il ministro Roberta Pinotti, di creare entro un anno il centro nazionale italiano per l’addestramento alla cyber-difesa. Il centro avrà sede a Chiavari, nella Scuola di telecomunicazioni delle forze armate. Sarà un poligono virtuale, ossia, un centro in cui simulare gli scenari di attacco più insidiosi e studiate le migliori difese possibili.
Quale sarà quindi l’impatto della Direttiva NIS in Italia? Come ha dichiarato di recente in un’intervista con Cyber Affairs Corrado Giustozzi (esperto di sicurezza cibernetica presso l’Agenzia per l’Italia Digitale per lo sviluppo del Cert della Pubblica Amministrazione e membro del Permanent Stakeholders’ Group dell’Agenzia Enisa): “Tutti gli Stati membri dovranno compiere alcuni passi. Noi ne abbiamo già fatti alcuni come la formalizzazione di una cyber strategy, creare uno o più Cert, identificare un organismo di interfaccia e un’autorità responsabile per la sicurezza cibernetica. Dovremo invece lavorare su altri punti: tra questi ci sarà la definizione precisa di quali sono le nostre infrastrutture critiche. La Direttiva estende infatti a quest’ultime e alle banche l’obbligo di notificare alle autorità nazionali competenti le intrusioni o gli incidenti o informatici accaduti. Queste misure hanno lo scopo finale di innalzare ed armonizzare le modalità e i livelli con cui ciascuno Stato membro protegge le proprie infrastrutture, innalzando il livello di cooperazione e, dunque, anche la sicurezza complessiva dell’Ue”.
I prossimi passaggi per l’approvazione definitiva della Direttiva NIS
I prossimi momenti del cammino di approvazione della NIS prevedono il passaggio in Parlamento Europeo per l’approvazione in seconda lettura, per diventare definitiva, e la pubblicazione in Gazzetta. Le previsioni sono che diventi quindi effettiva da agosto 2016. Dopodiché, gli Stati Membri avranno a disposizione 21 mesi per recepirla. Alla fine di questo periodo gli Stati avranno anche 6 mesi per identificare tutti gli operatori di servizi essenziali che sono oggetto della Direttiva.
A cura di:
Elena Vaciago, The Innovation Group