La Direttiva Europea NIS, Network and Information Security, ha ricevuto il via libera dal Consiglio e dalla Commissione Europea nel dicembre 2015 ed è stata approvata poche settimane fa. Ora gli Stati Membri avranno 21 mesi per adottare le necessarie misure di implementazione. La sua efficacia dipenderà da come la Direttiva verrà recepita da ogni singolo Paese e da quanto l’attuazione sarà in linea con gli obiettivi originali, da come l’Unione Europea gestirà questo nuovo ruolo di indirizzamento e dall’attribuzione di chiare e trasparenti responsabilità tra i soggetti coinvolti.
La Direttiva definisce misure per aumentare il livello comune di sicurezza delle rete e dell’informazione nell’Unione Europea, con l’obiettivo di definire una cooperazione fra gli Stati membri atta a garantire una risposta verso le cyber minacce e di individuare gli obblighi di sicurezza per gli operatori di mercato e le amministrazioni pubbliche.
In questo quadro, i CERT/CSIRT nazionali assumono un’importanza strategica. In Italia, tramite il DPCM del 2013 sulla cyber security per l’adozione del “Quadro Strategico nazionale per la sicurezza dello spazio cibernetico”, è stato introdotto il Cert Nazionale. La direttiva consentirà un più agevole coordinamento fra i diversi CSIRT/CERT, oltre che una maggior efficacia d’azione.
La norma ha impatto su diversi soggetti, in primis sulle infrastrutture critiche che forniscono i servizi essenziali e sui provider di servizi digitali.
Gli operatori di servizi essenziali sono operatori, pubblici o privati, che soddisfano requisiti quali fornire servizi essenziali per il mantenimento di attività economiche e sociali critiche attraverso sistemi informativi e saper prevenire incidenti al sistema informativo e valutarne gli impatti.
Oltre a soddisfare questi requisiti, le organizzazioni devono operare all’interno del settore energetico, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, sanitario, dell’acqua potabile e delle infrastrutture digitali.
I fornitori di servizi digitali invece, rientrano, invece, nelle categorie di online marketplace, online search engine e cloud computing service.
La normativa permette quindi alle imprese di capire correttamente in quale tipologia di classificazione rientrano e i relativi impatti, queste avranno 6 mesi di tempo per adeguarsi alla ripartizione individuata.
L’altro tema è l’infosharing che ha importanza strategica preventiva e di gestione degli incidenti, dove la Direttiva ha inserito punti di obbligatorietà nei processi, anche se la trattativa ha portato verso un approccio più volontario di adesione. Per gli operatori di servizi essenziali gli ambiti obbligatori sono sicurezza e notifica. Per le infrastrutture digitali si richiede di avere un approccio strutturato sulla sicurezza dei sistemi, gestione incidenti, continuità operativa e risk managment.
La direttiva vuole quindi incoraggiare un’adozione di standard in ambito sicurezza e sviluppare una cultura della condivisione delle informazioni, un quadro regolatorio di natura mandatoria, dove gli Stati Membri dovranno anche definire penali “efficaci, proporzionate e dissuasive”.
Se da un lato il recepimento della Direttiva NIS produrrà un impatto positivo sulla sicurezza cibernetica degli Stati Membri, consentendo di ottenere un quadro preciso di quali settori siano sotto attacco e rafforzando così la fiducia dei cittadini, dando inoltre uno slancio positivo allo sviluppo del mercato digitale e dei servizi correlati, dall’altro aprirà una nuova visione per le imprese, di indirizzamento efficace della compliance nonché di coordinamento con gli ulteriori provvedimenti e regolamenti a livello europeo e nazionale (ad esempio il Regolamento generale sulla protezione dei dati). Ai fini di un corretta applicazione della norma, è fondamentale identificare quali settori dovranno rientrare nel perimetro della Direttiva, soprattutto rispetto alle Industry per le quali richiede, per la prima volta, l’applicazione.
Gli operatori telco, infatti, già da qualche anno sono abituati ai vincoli di compliance nazionali e intra-nazionali europei in coerenza alla Direttiva Europea 140/2009, alle Linee Guida ENISA in materia di requisiti di Resilienza delle Reti che gli operatori di servizi di telecomunicazioni pubblici devono rispettare, nonché a quanto previsto dalle leggi nazionali di recepimento della DE 140/2009. Molto meno maturi e preparati potrebbero invece essere i nuovi player, come i gestori di motori di ricerca, marketplace on-line, e, più in generale, gli attori che sino ad oggi non hanno dovuto seguire una normativa e/o vincoli espliciti.
In tali contesti, ulteriori criticità potrebbero essere rappresentate da un’eventuale indisponibilità di un processo di Risk Management ben disegnato e correlato alla value chain, nonché l’introduzione di meccanismi di Information Sharing, dove la novità crerebbe forse qualche titubanza nell’approccio attuativo.
Tema cruciale correlato all’infosharing è costituito dalle modalità che gli Stati saranno in grado di garantire allo scopo di preservare la riservatezza delle comunicazioni, in un contesto dove gli impatti reputazionali relativi alla notifica degli attacchi cyber rappresentano un chiaro deterrente.
Un’altra domanda che i Responsabili Network, Information Security e Compliance delle realtà impattate si porranno è la seguente: una volta individuate quelle che sono le infrastrutture critiche, saranno ammesse logiche di prioritizzazione nell’esaminare e contestualmente adeguare le piattaforme esistenti? Ed ancora: quanto le logiche di prioritizzazione risk–based sono in grado di tutelare l’Azienda in termini di rischio di non conformità?
Il contraltare di questi punti aperti sono chiaramente i vantaggi che le aziende potranno trarre dall’attuazione di questa Direttiva, tra cui:
- Indirizzare adeguatamente le esigenze di Cyber Security, coerentemente con gli standard internazionali in materia e i framework nazionali;
- Adeguamento alle best-practices ed ai livelli di maturità richiesti in ambito digital security;
- Poter far affidamento su processi di Information Sharing e Threat Intelligence grazie alla cooperazione tra Stati Membri;
- Opportunità di far emergere eventuali gap nei processi, servizi e infrastrutture aziendali, attraverso le attività di assessment necessarie per rilevare il proprio posizionamento in termini di Cyber Profile dell’azienda, su cui poter conseguentemente pianificare interventi mirati di adeguamento.
Un ulteriore settore che potrà essere impattato dalla Direttiva Nis sulla cyber security è infine quello del mercato delle polizze assicurative. Al momento gli operatori del settori non hanno ancora chiaro quale sarà l’impatto che ne conseguirà: dovranno comunque aggiornare la loro tecnologia a livello di tool analitici, la loro struttura IT ed accrescere il loro digital know-how.
