Che cosa cambia con la direttiva Ue Nis? Quali aziende sono interessate? E quali sono gli obblighi previsti. Di questo e di molto altro si è parlato a un convegno sulla cyber-security organizzato dal Centro studi difesa e sicurezza (Cestudis) presso la Sala Capitolare del Chiostro del Convento di S. Maria sopra Minerva (Senato della Repubblica).

LE PAROLE DEL SOTTOSEGRETARIO ROSSI

La cyber-security è un processo culturale non solo tecnologico, ed è con questa consapevolezza che gli stati membri dell’Ue devono interpretare le novità introdotte dalla Direttiva Nis (Network and Information Security) dell’Unione europea. A sostenerlo è stato Domenico Rossi, sottosegretario alla Difesa (nella foto).

LE NOVITÀ DELLA DIRETTIVA NIS

La Direttiva Nis imporrà ai fornitori di servizi essenziali (in settori critici come l’energia, i trasporti, la salute e la finanza) e digitali (mercati online, motori di ricerca e dei servizi cloud) degli Stati membri dell’Ue alcuni specifici obblighi di sicurezza, tra i quali la comunicazione di eventuali incidenti subiti. “Il punto fondamentale della cyber security – ha aggiunto Rossi – è che si tratta di un processo culturale, non solo tecnologico. Se riusciremo a far capire agli operatori e agli utenti l’entità della minaccia e quali conseguenze può avere, allora riusciremo a difenderci e ad essere pronti per le sfide del futuro”, scrive l’agenzia Cyber Affairs.

CONFLITTI CIBERNETICI: DEFINIZIONE DEI CONFINI

Altrettanto rilevante, però, ha concluso il sottosegretario alla Difesa, sarà “definire norme internazionali sui conflitti nello spazio cibernetico. Quando una minaccia cibernetica è una reale dichiarazione di guerra e, eventualmente, come bisognerà rispondere? La comunità internazionale e l’Europa in primis debbono lavorare per chiarire questi aspetti”.

LA CYBER DEFENCE NAZIONALE

“I Cert con capacità di prevenzione e reazione costituiranno un elemento fondamentale per contribuire ad una reale cyber defence nazionale. Tuttavia il coordinamento e la cooperazione tra gli stessi richiederà il superamento di sfide importanti” per l’Italia, Ha spiegato Fabio Battelli, partner Deloitte Cyber Risk Services, intervenuto a margine del convegno.

PROMOZIONE DELLA COOPERAZIONE

Tra gli obblighi e gli interventi principali richiesti dalla Direttiva Nis, la risposta dell’Unione europea alla necessità di innalzare il livello di sicurezza del cyber space soprattutto riferito agli operatori di servizi essenziali, c’è proprio la creazione di una rete di gruppi di intervento per la sicurezza informatica in caso di incidente (“rete Cert/Csirt”), al fine di contribuire allo sviluppo della fiducia tra Stati membri e promuovere una cooperazione operativa rapida ed efficace.

COME COSTRUIRE UNA RETE DI SICUREZZA

Per favorire lo sviluppo di una rete di Cert/Csirt, ha proseguito Battelli, “è essenziale disporre di modelli di riferimento capaci di garantire omogeneità nelle capacità e nei servizi forniti da ciascun Cert. Ciò si può realizzare tenendo conto di alcuni elementi chiave come la definizione chiara di obiettivi, strategia e constituency; integrazione con tutti gli attori esterni (di settore e nazionali; servizi di prevenzione e coordinamento degli incidenti; capacità di creare relazioni di fiducia con gli altri Cert (infosharing); allineamento a standard e normative di settore”.

COSA PUÒ E DEVE FARE L’ITALIA

Ma considerando le peculiarità della situazione nazionale ad oggi, sono diversi i punti sui quali – secondo Battelli – l’Italia dovrà intervenire per dar vita a una efficace rete di Cert/Csirt integrata con le altre reti degli Stati membri. “Per quanto riguarda gli aspetti di policy making – ha sottolineato -, nonostante i passi avanti fatti dal legislatore mancano diversi elementi attuativi o almeno di auto-disciplina sul tema. Molte organizzazioni – pubbliche e private – non hanno ancora la sensibilità sulla necessità di contribuire alla cyber defence nazionale. L’infosharing è ancora attuato ad-hoc e solo in alcuni ambiti e settori. Infine, la maggior parte delle Infrastrutture critiche e del settore privato non ha ancora un Cert formalizzato”.