Cerca
  • Sicurezza
  • Scenario

Direttiva NIS: tutto sulla sicurezza delle reti e dei sistemi informativi

Scritto da
Paola Cozzi
Direttiva NIS: tutto sulla sicurezza delle reti e dei sistemi informativi

Direttiva NIS: cos’è e a chi si rivolge

La NIS (acronimo di Network and Information Security) è una Direttiva europea approvata nel 2016 che impone agli Stati Membri dell’Unione l’adozione di una serie di misure comuni per la sicurezza delle reti e dei sistemi informativi. In Italia è stata recepita dal Decreto Legislativo 18 maggio 2018 – pubblicato sulla Gazzetta Ufficiale del 9 giugno 2018 – entrato in vigore il 24 giugno 2018.

Scarica la guida Axis

L’obiettivo principe della Direttiva NIS è quello di definire un’unica linea strategica tra i vari Stati dell’Unione europea contro il rischio di incidenti ai danni delle reti informatiche e dei sistemi informativi. La linea strategica prevede, nel concreto, la gestione dei rischi, la protezione contro i cyber attacchi, l’individuazione di incidenti e la riduzione dell’impatto di tali incidenti. Dunque, gestire, proteggere, individuare, ridurre: questi i pilastri della linea comune di sicurezza.

Che cos’è un attacco informatico

L’attacco informatico è quell’azione che colpisce sistemi informativi, infrastrutture, reti informatiche o dispositivi elettronici personali tramite atti illeciti provenienti, nella maggioranza dei casi, da fonti anonime. Sistemi, infrastrutture e reti sui quali viaggiano anche dati video ripresi da telecamere di videosorveglianza. Gli atti illeciti mirano al furto, al danneggiamento o alla distruzione di obiettivi specifici.

Gli attacchi informatici, dal punto di vista tecnico, possono essere di diversi tipi. I più pericolosi portano all’interruzione dei servizi da parte del sistema preso di mira. Esistono, poi, bersagli specifici che, se attaccati, subiscono danni tali da paralizzare un’intera nazione e provocare problemi di grave entità, economici e non. È il caso delle infrastrutture definite “critiche”, tra cui, ad esempio, quelle relative alle risorse energetiche, alle unità ospedaliere, alle telecomunicazioni, trasporti, impianti di fornitura e distribuzione di acqua potabile e finanza.

Gli operatori coinvolti dalla Direttiva NIS

Nello specifico, la Direttiva NIS si rivolge a due tipologie di operatori nell’ambito delle reti e dei sistemi informativi:

  1. i soggetti, pubblici o privati, che forniscono servizi cosiddetti “essenziali” per la società e l’economia (definiti “Operatori di Servizi Essenziali” – OES) nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali
  2. i Fornitori di Servizi Digitali (FSD), vale a dire le persone giuridiche che forniscono servizi di e-commerce, cloud computing e motori di ricerca con sede sociale (o rappresentante designato) sul territorio nazionale. A tale riguardo, non sono soggetti alla Direttiva NIS i Fornitori di Servizi Digitali con meno di cinquanta dipendenti o con fatturato inferiore ai 10 milioni di euro l’anno

L’approccio italiano alla Direttiva NIS

Il decreto italiano di recepimento della Direttiva NIS – Dlgs 18 maggio 2018 – prevede la messa a punto di una strategia nazionale di sicurezza informatica che poggi su concrete misure di prevenzione, di recupero dei servizi in seguito a incidenti informatici e sulla definizione di un piano di analisi dei rischi e di programmi di formazione e di sensibilizzazione in materia.

Il 31 gennaio 2019 è stata la data ultima per la selezione degli Operatori di Servizi Essenziali (OSE): un totale di 465 realtà, tra pubbliche e private, identificate dai Ministeri competenti nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile e infrastrutture digitali.

struttura ospedaliera
Attacchi informatici rivolti a infrastrutture critiche quali, ad esempio, le unità ospedaliere, possono paralizzare un’intera nazione e provocare danni gravi, economici e non

Nel corso del 2019, poi, l’Italia ha realizzato e diffuso le linee guida per gli Operatori di Servizi Essenziali (OSE) ed emesso il decreto-legge sulla sicurezza cibernetica, pubblicato sulla Gazzetta Ufficiale n. 222 del 21 settembre 2019. Decreto-legge che dispone l’istituzione di un “perimetro nazionale” di sicurezza cibernetica, in grado di introdurre misure volte a garantire la sicurezza e la funzionalità delle reti e dei sistemi informatici nuovi e già in uso sul territorio italiano.

L’Italia, inoltre, ha dato vita al Computer Security Incident Response Team – CSIRT, istituito presso la Presidenza del Consiglio e responsabile per il monitoraggio, la gestione e l’analisi degli incidenti cibernetici e per la diffusione di allerta e divulgazione di informazioni. Sottolinea Maria Cupolo, avvocato, Privacy Officer e Consulente della Privacy:

“La Direttiva NIS, dal momento in cui è stata recepita nel nostro Paese, ha fatto da apripista a una serie di passaggi importanti in tema di sicurezza informatica, tra cui, ad esempio, il decreto-legge sulla sicurezza cibernetica del 2019. La Direttiva ha suscitato un interesse sempre più forte in merito alla necessità di tutelare la sicurezza delle infrastrutture critiche, dimostrando come, di fronte a qualsiasi tipologia di attacco informatico, si possa essere in grado di applicare misure tecnico-organizzative atte a minimizzarne gli effetti e come l’avere un modello di organizzazione e di prevenzione sia fondamentale. Anche il team che il nostro Paese ha creato, il CSIRT – Computer Security Incident Response Team, è nato dalla volontà di definire, all’interno del contesto italiano, un preciso riferimento per poter rendere sempre più puntuale l’attuazione della norma”

Direttiva NIS: quali obblighi impone

Agli Operatori di Servizi Essenziali (OES) e ai Fornitori di Servizi Digitali (FSD), considerati soggetti importanti per i servizi che quotidianamente forniscono ai cittadini UE, la NIS impone obblighi precisi, ovvero:

  • la messa a punto di misure tecniche e organizzative atte alla gestione dei rischi, oltre che a prevenire e a minimizzare l’impatto di eventuali incidenti ai danni della di sicurezza delle reti e dei sistemi informativi, il cui obiettivo è assicurare la continuità dei servizi agli utenti
  • l’obbligo di notifica degli incidenti di sicurezza che hanno un impatto significativo sulla continuità e sulla fornitura dei servizi
cyber attacco
Gli attacchi informatici, dal punto di vista tecnico, possono essere di diversi tipi. I più pericolosi portano alla completa interruzione dei servizi da parte del sistema preso di mira

Incidenti di sicurezza con impatto rilevante: quali sono?

Ma quali sono gli incidenti di con impatto significativo sulla continuità e sulla fornitura dei servizi? A tale riguardo, la Commissione europea ha fissato criteri precisi, specificando che un incidente è rilevante se si verifica almeno una delle seguenti condizioni:

  • indisponibilità del servizio fornito per oltre 5.000.000 di ore utente
  • perdita di integrità, autenticità o riservatezza dei dati per oltre 100.000 utenti dell’UE
  • rischio per la sicurezza e/o l’incolumità pubblica oppure rischio in termini di perdite di vite umane
  • danni materiali superiori a 1.000.000 di Euro per almeno un utente nell’UE

A chi va fatta la notifica degli incidenti di sicurezza

La notifica degli incidenti di sicurezza va fatta al Computer Security Incident Response Team (CSIRT) italiano, informandone anche l’Autorità competente NIS di riferimento.

Il CSIRT italiano è istituito presso la Presidenza del Consiglio dei Ministri e si occupa di definire le procedure per la prevenzione e la gestione degli incidenti informatici e di ricevere le notifiche di incidente, informando, a sua volta, il DIS – Dipartimento Informazioni per la Sicurezza, che coordina i servizi segreti.

Il CSIRT deve, poi, fornire al notificante informazioni utili alla gestione puntuale dell’incidente e informare gli altri Stati membri dell’UE eventualmente coinvolti, tutelando al tempo stesso la sicurezza e gli interessi commerciali dell’Operatore di Servizi Essenziali o del Fornitore di Servizi Digitali coinvolti.

Il rapporto tra GDPR e Direttiva NIS

I beni aziendali oggi più preziosi e, al tempo stesso, più vulnerabili sono rappresentati dai dati e dalle infrastrutture. Con l’obiettivo di proteggere tali beni – informazioni, dati dei dipendenti, know-how dell’azienda, reti informatiche e sistemi informativi che permettono di erogare servizi – l’Unione Europea, nel 2016, ha pubblicato due normative che gli Stati Membri hanno recepito o stanno ancora recependo.

La prima è il GDPR – General Data Protection Regulation, regolamento pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 – divenuto operativo a partire dal 25 maggio 2018 e recepito in Italia dal Decreto legislativo 101 del 10 agosto 2018 – in tema di trattamento dei dati personali e privacy.

La seconda è la NIS (acronimo di Network and Information Security), Direttiva approvata nel 2016 – recepita in Italia dal Decreto Legislativo 18 maggio 2018, entrato in vigore il 24 giugno 2018 – che impone l’adozione di una serie di misure comuni per la sicurezza delle reti e dei sistemi informativi.

Unione Europea bandiera
Con l’obiettivo di proteggere dati e infrastrutture, l’Unione Europea, nel 2018, ha pubblicato due normative che gli Stati Membri hanno recepito o stanno ancora recependo

Sicurezza e prevenzione

Gli ambiti di intervento di tali normative sono, in apparenza, distanti, eppure rimandano entrambi all’esigenza di una maggiore consapevolezza, a livello europeo, circa l’importanza, per le aziende, di una strategia puntuale ed efficace in tema di sicurezza e prevenzione.

In particolare, il GDPR trova applicazione nei casi di trattamento dei dati personali, da intendersi come qualsiasi informazione riguardante una persona fisica. Prevede che chi, in azienda, effettua il trattamento dei dati personali adotti specifiche misure di sicurezza, tenuto contro delle finalità del trattamento e del rischio per il diritto alla privacy e alla riservatezza delle persone fisiche coinvolte.

L’obiettivo della Direttiva NIS è, invece, quello di definire un’unica linea strategica tra i vari Stati dell’Unione europea contro il rischio di incidenti ai danni delle reti informatiche e dei sistemi informativi. Linea strategica che si basa sulla gestione dei rischi, sulla protezione contro i cyber attacchi, sull’individuazione di incidenti e sulla riduzione dell’impatto di tali incidenti.

La necessità – per entrambe le normative – di mettere a punto metodologie di prevenzione dei rischi e delle minacce che insidiano la sicurezza dei dati e delle infrastrutture aziendali, pone al centro le scelte tecnologiche che le aziende fanno. A queste scelte vanno aggiunte quelle relative all’organizzazione interna, alle procedure e alla definizione di ruoli e responsabilità, contribuendo in questo modo a prevenire gli incidenti.

GDPR e Direttiva NIS, dunque, hanno un medesimo obiettivo finale: adottare misure di sicurezza tecniche e organizzative adeguate al recepimento delle normative, dandosi regole uniformi in materia e cooperando con le autorità e con tutti i soggetti coinvolti.

Scritto da
Paola Cozzi