L’obiettivo principale del NIS – Network and Information Security – è quello di creare un’unica linea che tutti i paesi membri dell’UE dovranno seguire, così da migliorare il livello di sicurezza della rete e dei sistemi informativi, introducendo l’obbligo di notifica di eventuali incidenti rilevanti sia per enti pubblici che aziende private.
Oltre al rafforzamento della cooperazione tra nazioni, un altro punto focale del decreto è la cultura della prevenzione del rischio e le relative misure per limitare i danni causati dagli attacchi informatici.
La direttiva è estremamente specifica per quanto riguarda gli obblighi che gli OSE (Operatori di Servizi Essenziali) dovranno rispettare. In questa categoria rientrano tutte quelle aziende che operano nel settore energia, trasporti, bancario, infrastrutture dei mercati finanziari, infrastrutture digitali, sanitario e fornitura e distribuzione di acqua potabile, oltre ai Fornitori di Servizi Digitali (Fsd) quindi e-commerce, motori di ricerca, e Cloud computing.
Sarà pertanto di competenza di colossi come Google, Amazon, e Microsoft occuparsi della gestione del rischio e quindi alla prevenzione degli incidenti informatici.
La notifica di incidenti rilevanti sui servizi forniti andrà effettuata al Computer Security Incident Response Team (CSIRT) e alle Autorità competenti NIS, ovvero i vari Ministeri. A questi ultimi è demandato il compito di vigilare sull’applicazione della direttiva a livello nazionale, e di assegnare sanzioni amministrative in caso di violazione degli obblighi previsti.
Per i fornitori di servizi digitali la norma è già in vigore, pertanto per la notifica degli incidenti rilevanti dovrà tener conto delle soglie stabilite dall’Unione Europea. L’identificazione degli OSE dovrà avvenire entro il 9 novembre 2018 secondo dei criteri che comprendano: l’importanza del servizio fornito per il mantenimento di attività sociali e/o economiche fondamentali; la dipendenza della fornitura del servizio da reti e sistemi informativi e la rilevanza degli effetti derivanti da un eventuale incidente sull’erogazione del servizio.
Per l’Italia è il DIS, Dipartimento Informazioni per la Sicurezza, l’organo preposto al coordinamento di tutto ciò che riguarda la sicurezza delle reti e dei sistemi informativi, che a livello europeo si interfaccerà on il Gruppo di cooperazione (istituito presso la Commissione europea) e la rete dei CSIRT.
Lascia un commento