NIS Sicurezza informatica

Direttiva NIS sulla Sicurezza informatica: al via l’adeguamento per gli Operatori di servizi essenziali nazionali

Entro il 31 gennaio 2019, i Ministeri competenti dovevano scegliere i soggetti da qualificare come Operatori dei Servizi Essenziali (OSE) ed informarli dell’obbligo di aderire alle prescrizioni della Direttiva NIS. Questo significa che adesso almeno 465 realtà pubbliche e private dovranno implementare nuove misure di cyber security.

 

L’Italia, insieme a Germania e Gran Bretagna, è tra i primi Stati UE che hanno concretamente dato seguito agli adempimenti della Direttiva Europea 2016/1148 per il raggiungimento di un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione Europea, nota come Direttiva NIS (Network and Information Security).

Il 31 gennaio 2019 è stata la data ultima per la selezione dei soggetti interessati da questa normativa, i cosiddetti Operatori di servizi essenziali (OSE): si tratta di un totale di 465 realtà, tra pubbliche e private, che sono stati identificati, dai Ministeri competenti, nel settore dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, sanitario, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali.

La Direttiva NIS: gli obblighi per i fornitori di servizi “essenziali”

Il rischio cyber è ancora sottovalutato nel nostro Paese. Eppure, secondo le ultime ricerche, tra cui il rapporto Allianz Risk Barometer 2019, gli incidenti informatici sono il principale rischio per le aziende a livello mondiale, indicato a pari merito con l’interruzione di attività (Business Interruption).

La rimuneratività delle frodi informatiche, unita alla difficoltà di stare al passo con le continue evoluzioni dei virus e delle tecniche con cui vengono sferrati gli attacchi cyber, mette in pericolo intere filiere produttive e i dati personali di milioni di individui.

Il 26 giugno 2018 è entrato in vigore il Decreto Legislativo n. 65 del 18 maggio 2018, che attua in Italia la Direttiva NIS.

Si tratta del primo approccio coordinato, a livello dell’Unione Europea, sulla sicurezza informatica e si propone di guidare tutti i Paesi membri a raggiungere un livello elevato ed uniforme di sicurezza informatica dei sistemi, delle reti e delle informazioni, anche per garantire la business continuity.

La Direttiva pone nuovi obblighi in materia di sicurezza e di notifica ai cosiddetti Operatori di Servizi Essenziali (OSE) - organizzazioni pubbliche o private operanti nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, infrastrutture digitali, sanitario e fornitura e distribuzione di acqua potabile - e ai Fornitori di Servizi Digitali (FSD) - e-commerce, motori di ricerca, e cloud computing.

Tutta la Pubblica Amministrazione italiana, che tratti una quantità significativa di dati sensibili resta comunque soggetta alla Circolare AgID n. 2/2017, recante “Misure minime di sicurezza ICT per le pubbliche amministrazioni”.

Le strutture riconosciute come OSE o FSD sono chiamate ad adottare misure organizzative e tecniche adeguate e proporzionate alla prevenzione e gestione dei rischi informatici, che minimizzino l’impatto degli incidenti a carico delle reti e dei sistemi informativi, per garantire la continuità dei servizi. La Direttiva NIS fa leva sulla condivisione delle informazioni e sull’obbligo di tempestiva notifica degli incidenti con impatto rilevante sulla continuità dei servizi essenziali alle autorità competenti, tra cui il Computer Security Incident Response Team (CSIRT) italiano. Istituito presso la Presidenza del Consiglio e attualmente operante come coordinamento tra CERT-Nazionale e CERT-PA, il CSIRT sarà uno snodo fondamentale per l’ecosistema di cybersecurity richiesto dalla Direttiva europea, insieme al Punto di contatto unico, individuato, per l’Italia, nel Dipartimento delle informazioni per la sicurezza (DIS).

Nello specifico, il CSIRT si occuperà di monitorare, gestire e analizzare gli incidenti cibernetici, oltre a diffondere eventuali allerte su attacchi e data breach.

Il Dipartimento Informazioni per la Sicurezza (DIS), invece, avrà il compito di coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi a livello nazionale e di garantire la cooperazione transfrontaliera delle Autorità competenti NIS italiane con quelle degli altri Stati membri, con il Gruppo di cooperazione (istituito presso la Commissione europea) e la rete dei CSIRT.

Le imprese riconosciute dalla normativa come “piccole” o “micro”, con meno di 50 dipendenti e un fatturato o un bilancio annuo non superiore ai 10 milioni di euro, sono esenti dagli obblighi pervisti per gli FSD.

Le sanzioni previste (da 12.000 a 125.000 euro) sono comunque inferiori a quelle disposte dal GDPR, che arrivano fino a 20 milioni di euro o al 4% del fatturato annuo globale in caso di gravi violazioni.

L’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) ha pubblicato, a novembre 2018 il framework “Information Security Audit and Self – Assessment Frameworks for operators of essential services and digital service providers” per le Autorità Competenti Nazionali (NCA), i Digital Service Provider (DSP) e gli Operatori dei Servizi Essenziali (OES). Si tratta di buone prassi di autovalutazione dello stato d’implementazione dei requisiti di sicurezza della direttiva, per facilitare le attività di compliance.

Migliorare la sicurezza informatica con il supporto di un broker assicurativo

La sfida relativa al rischio informatico va affrontata anche a livello internazionale per l’estensione e velocità di diffusione della minaccia.

Esiste ancora una disparità tra la globalità del rischio cyber e il provincialismo degli strumenti di difesa, tra la varietà delle tecnologie utilizzate (virus informatici, malicious scans, new malware, phishing,  ransomware, ecc) e la scarsità di punti di riferimento normativi nazionali. Il pericolo è cresciuto a ritmi sproporzionati rispetto alle tecnologie di difesa, alla cultura sui rischi informatici e alla consapevolezza delle imprese, senza contare gli effetti devastanti di una scarsa affidabilità degli strumenti rimediali e risarcitori oggi disponibili.

Grazie al recepimento delle nuove disposizioni europee previste dalle direttive NIS e GDPR, anche l’Italia si sta muovendo verso una maggiore resilienza alle minacce informatiche che sono sempre più frequenti e generano impatti reali anche sulle imprese, piccole o grandi che siano. Si sta finalmente cercando un approccio coordinato, con una maggiore collaborazione tra pubblico e privato, per aumentare la consapevolezza sia nei singoli utenti sia nelle imprese.

Come “Consultative brokerAssiteca è in grado di assistere le aziende sottoposte alla Direttiva NIS attraverso interventi preventivi, analizzando i rischi a cui è sottoposta la specifica realtà aziendale per poi attuare le giuste misure di prevenzione e protezione per poi trasferire il rischio efficacemente il residuo al mercato assicurativo. Un team multidisciplinare (legali, informatici e esperti in organizzazione) può quindi suggerire le attività preventive giuste per l’azienda e poi selezionare la polizza cyber più efficace tra le molte ormai disponibili sul mercato. Se poi l’azienda dovesse subire un attacco informatico o un data breach, Assiteca potrà assisterla, con i propri servizi di Crisis Management e Business Continuity, sia durante l’emergenza sia nelle successive fasi di ripristino.

COMPILA IL MODULO PER RICHIEDERE INFORMAZIONI