Energie in gioco tra scienza, ambiente e società.
Iscriviti alla Newsletter

Cybersecurity, la direttiva NIS a un passo dalla piena operatività

Pubblicato: 29 Ottobre 2018 @ 10:08   /   by   /   commenti (0)

di Elisa Gazzara

Date e passaggi molto importanti per rendere la direttiva NIS Network and Information Security effettivamente implementabile. Sono quelli previsti a breve dal decreto legislativo n. 65 nel maggio 2018 che ha permesso in Italia il recepimento del ‘piano di azione’ europeo di cybersecurity.

Il primo di questi passaggi prevede la pubblicazione entro il 9 novembre dell’elenco degli operatori di servizi essenziali (ODS). Saranno le autorità competenti NIS (ovvero i Ministeri competenti, nel settore energia il Ministero dello Sviluppo Economico) ad identificare per ciascun settore e sottosettore gli operatori coinvolti.

I settori che ricadono nell’ambito della direttiva sono l’energia, i trasporti, il settore bancario, le infrastrutture dei mercati finanziari, il settore sanitario, la fornitura e distribuzione di acqua potabile, le infrastrutture digitali.

L’allegato 2 del decreto legislativo qualifica come operatori di servizi essenziali nel settore energetico quei soggetti pubblici o privati il cui operato è fondamentale per il mantenimento di attività sociali e/o “indispensabili”. I sottosettori sono invece così delineati:

ENERGIA ELETTRICA: le imprese elettriche che esercitano attività di fornitura, i gestori del sistema di distribuzione, i gestori del sistema di trasmissione

PETROLIO: i gestori di oleodotti e i gestori di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio

GAS: le imprese fornitrici, i gestori del sistema di distribuzione, i gestori del sistema di trasmissione, i gestori dell’impianto di stoccaggio, i gestori del sistema GNL, imprese di gas naturale, i gestori di impianti di raffinazione e trattamento di gas naturale

Un altro passaggio importante per conferire piena operatività alla normativa, è la pubblicazione, sempre entro il 9 novembre, del Decreto del Presidente del Consiglio dei Ministri che istituisce il CSIRT (Computer Security Incident Response Team) che assorbirà CERT nazionale e CERT PA (Computer Emergency Response Team rispettivamente per i privati e per la PA). Compito del CSIRT è definire le procedure per la prevenzione e la gestione degli incidenti informatici che le imprese dovranno adottare a proprie spese. Lo CSIRT italiano avrà compiti di natura tecnica nella prevenzione e risposta ad incidenti informatici svolti in cooperazione con gli altri CSIRT europei e sarà istituito presso la Presidenza del Consiglio dei Ministri.

Ultimo passo previsto, ma questa volta più di prospettiva, è l’adozione di una Strategia nazionale di sicurezza cibernetica da parte del Presidente del Consiglio dei Ministri. La strategia dovrà prevedere le misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, la definizione di un piano di valutazione dei rischi informatici e programmi di formazione e sensibilizzazione in materia di sicurezza informatica. Il Piano nazionale per la protezione cibernetica e la sicurezza informatica approvato nel 2017 non tiene infatti conto delle novità apportate dalla direttiva NIS.

Il nostro sito usa i cookie per poterti offrire una migliore esperienza di navigazione. I cookie che usiamo ci permettono di conteggiare le visite in modo anonimo e non ci permettono in alcun modo di identificarti direttamente. Clicca su OK per chiudere questa informativa, oppure approfondisci cliccando su Cookie policy completa. Cookie Policy Completa | OK