Per restare competitive è importante che le aziende adottino tecnologie più moderne. Ma l’innovazione digitale è un’arma a doppio taglio, in quanto oltre a migliorare da molti punti di vista l’azienda, la espone anche agli attacchi informatici. Negli ultimi anni le difese delle aziende restavano deboli e la legislazione in questa materia scarseggiava, perciò i numerosi attacchi informatici andavano a buon fine.
Dopo il grande clamore suscitato dal Gdpr (Regolamento UE 2016/679), la normativa per la protezione dei dati sensibili divenuta effettiva lo scorso mese, è arrivato il momento del Nis, la direttiva europea tesa a migliorare le difese delle infrastrutture critiche degli Stati membri, puntando con una particolare enfasi sulla intelligence e prevenzione.
La direttiva Nis è stata recepita dall’Italia con un decreto legislativo pubblicato sulla Gazzetta Ufficiale il 9 giugno e diverrà effettivo a partire da domenica prossima 24 giugno. Il suo scopo è quello di assicurare che le aziende fornitrici di servizi essenziali, siano esse pubbliche o private, siano dotate di difese informatiche adeguate a evitare continuità e qualità dei servizi erogati.
Come ormai da prassi nelle direttive europee, sebbene gli stati membri avessero la possibilità di farlo, nel decreto non viene specificato quali siano le tecnologie da mettere in opera per rendere “adeguate” le difese aziendali, ma c’è di buono che non sembrano essere necessarie misure eccezionali rispetto a quelle già rese necessarie dal Gdpr e dalle normali buone pratiche di sicurezza informatica. Inoltre, l’applicazione del Nis riguarda principalmente le aziende che verranno identificate come Operatori di servizi essenziali (Ose) o fornitori di servizi digitali, cioè se forniranno tramite Internet o dispositivi informatici uno o più servizi essenziali per il mantenimento di attività sociali e/o economiche fondamentali e se in caso di attacco informatico dovessero verificarsi effetti negativi con ricadute importanti.
Dalla Nis al Csirt, dal Dis al Cisr, ecco tutte le parole della nuova cybersecurity
La legge appena approvata resta molto fedele al testo della direttiva europea e identifica otto settori di intervento: energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile, infrastrutture digitali, servizi digitali (quali motori di ricerca, servizi cloud e piattaforme di commercio elettronico).
Cinque ministeri competenti si occuperanno di identificare entro il 9 novembre i requisiti specifici delle Ose e fungeranno da coordinamento per la circolazione delle informazioni: ministero per lo Sviluppo economico, Infrastrutture e Trasporti, Economia, Salute, Ambiente e territorio.
Il vero cuore della nuova legge riguarda l’obbligo per le Ose di comunicare gli incidenti informatici subiti e la formazione di una infrastruttura a livello internazionale che permetta di condividere queste informazioni con tutti gli operatori che potrebbero essere interessati dallo stesso tipo di attacco. Per farlo, ogni stato si doterà di sistema di comunicazione facente capo a una autorità competente che si farà carico di ridistribuire l’informazione a livello locale e internazionale tramite un ente che funga da “punto di contatto”.
Nel caso dell’Italia, quando si verificherà un incidente informatico, l’Ose dovrà comunicarlo alla sua autorità competente la quale, a sua volta, lo comunicherà al Dis (Dipartimento delle informazioni per la sicurezza, l’organo di cui si avvalgono il Presidente del Consiglio dei Ministri e l'Autorità Delegata per l’esercizio delle loro funzioni e per assicurare unitarietà nella programmazione della ricerca informativa interna ed esterna) per valutarne la rilevanza internazionale e avviare l’eventuale procedura di diffusione agli altri Stati. Inoltre, il Cert-PA e il Cert Nazionale (Computer Emergency Response Team) verranno fusi in un’unica entità chiamata Csirt (“Computer Security Incident Response Team”) che gestirà le segnalazioni.
In caso di incidenti informatici gravi, anche le aziende non Ose saranno tenute a informare le autorità a cui fa capo il loro settore di attività.
La mancata comunicazione degli incidenti o la mancata messa in pratica di misure di sicurezza adeguate verranno punite a “posteriori”, solo in seguito a incidenti, con sanzioni che andranno da 12mila a 120mila euro.