Procede il percorso dell’Italia verso la piena implementazione della Direttiva Nis, lo strumento dell’Unione europea che ha definito le misure per arrivare a un comune e più elevato livello di cyber security nel Vecchio continente.
GLI ADEMPIMENTI
Roma, insieme a Berlino e Londra, si posiziona tra gli Stati membri che hanno concretamente dato seguito agli adempimenti previsti sinora. L’ultimo in ordine di tempo è stato l’identificazione (da completare entro il 9 novembre 2018), da parte delle autorità competenti italiane, dei cosiddetti Operatori di servizi essenziali (gli Ose), per ciascuno dei settori previsti dalla Direttiva. Si tratta di attori – un totale di 465 realtà, tra pubbliche e private – che operano in gangli vitali della nazione come energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile e infrastrutture digitali.
Parallelamente, spiega il Dipartimento delle informazioni per la sicurezza in una nota, ci si è attivati anche sulle misure che gli Ose dovranno adottare per la gestione dei rischi e sulle modalità con cui valutarne la compliance.
I PROSSIMI STEP
Il percorso, tuttavia, non è concluso. I prossimi step prevedono che entro il 31 gennaio le autorità competenti comunichino alle organizzazioni identificate di essere state inquadrate come “Ose nazionale” (nomi che, per scelta, potrebbero essere classificati e non resi noti pubblicamente). Questo processo di identificazione non sarà statico, ma avrà carattere periodico e sarà ripetuto quando necessario e comunque ogni due anni, con l’intento di avere una fotografia il più possibile attuale.
LE ALTRE MISURE
Questi passaggi, ritenuti dalle istituzioni “fondamentali” per garantire l’ecosistema cyber previsto dalla Direttiva Ue, si coniugano ad altre misure come la nascita Csirt (acronimo di Computer Security Incident Response Team), istituito presso la presidenza del Consiglio ed al momento operante come coordinamento tra i già esistenti Cert-Nazionale e Cert-PA, e al Punto di contatto unico, individuato all’interno del Dis.
Nel dettaglio, il primo sarà responsabile per il monitoraggio, la gestione e l’analisi dinamica degli incidenti cibernetici, e per la diffusione di allerta e divulgazione di informazioni; mentre il secondo è chiamato ad operare su due fronti. A livello nazionale, per coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi, e a livello Ue per garantire la cooperazione transfrontaliera delle Autorità competenti italiane con quelle degli altri Stati membri e la partecipazione al Gruppo di cooperazione Nis.
I TRE PILASTRI DELLA NUOVA ARCHITETTURA
A rendere necessari questi cambiamenti è l’incremento esponenziale di minacce, come quelle cibernetiche, che già oggi insidiano la sicurezza nazionale, la competitività e dunque la crescita dell’Italia (e non solo). Furti di know-how, cyber spionaggio e attacchi di ogni tipo sono ormai all’ordine del giorno. E gli sviluppi tecnologici attesi nel prossimo futuro sono per certi versi destinati a moltiplicare la pericolosità e l’impatto di questi nuovi fenomeni. In questo scenario si colloca la Direttiva Nis, che punta non solo a uno sviluppo tecnico e ordinamentale, ma soprattutto di sensibilità culturale circa i pericoli dell’era digitale. Tale strategia, nazionale ed europea, si fonda su 3 pilastri che compongono la moderna architettura comunitaria di cyber security: approccio coordinato, aumento della consapevolezza, partnership pubblico-privato.
