LA SCHEDA

Direttiva NIS: tutto sulle linee guida italiane per la gestione e prevenzione dei rischi cyber

Le linee guida italiane sulla gestione dei rischi e la prevenzione, mitigazione e notifica degli incidenti cyber si pongono come ulteriore elemento a presidio della continuità dell’erogazione di servizi essenziali tutelati dalla direttiva europea NIS. Ecco gli indirizzi e i prossimi step

Pubblicato il 08 Lug 2019

Alessandro Bruttini

Associazione Italiana esperti in Infrastrutture Critiche

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Andrea Lucariello

Security Analyst and Privacy Consultant

cyberdefense

Nell’ambito della Direttiva NIS e del d.lgs. del 18 maggio 2018 n.65, l’Italia si è dotata di un ulteriore strumento per la gestione della cyber security nazionale che va a rendere più completo il quadro dell’architettura delineata dalle strategie nazionali: le linee guida sulla gestione dei rischi e la prevenzione, mitigazione e notifica degli incidenti.

Lo scopo è di fornire indicazioni di carattere tecnico, organizzativo e procedurale per l’innalzamento dei livelli di sicurezza cibernetica di reti e sistemi, garantendo altresì la resilienza del Sistema-Paese.

Elaborate dalle Autorità Competenti[1], con il coordinamento del Dipartimento delle Informazione per la Sicurezza (DIS),  le linee guida hanno impatti rilevanti sulla continuità e sulla fornitura di servizi essenziali[2]  e saranno condivise nel mese di luglio 2019 con i 465 operatori di servizi essenziali (OSE) individuati a dicembre 2018 per i settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanità, fornitura e distribuzione di acqua potabile.

Una volta condivise le linee guida, gli OSE avranno tra i quattro e i dodici mesi per recepire e uniformarsi ai requisiti specificati nelle stesse. Le Autorità competenti avranno la possibilità di valutare la conformità dei relativi OSE a quanto stabilito e quindi coordinare e gestire gli adempimenti per garantire la messa a sistema di tutte le attività previste dalla NIS.

Gli indirizzi delle linee guida

Gli indirizzi individuati nelle linee guida sono basati sul Framework Nazionale per la Cyber Security[3], documento che nella sua versione 2.0 pubblicata a febbraio 2019 recepisce tra le informative reference (linee guida, standard e normative) relative a ciascuna Subcategory anche le nuove disposizioni emanate a livello europeo, tra cui il GDPR e, appunto, la NIS.

È opportuno sottolineare la scelta di basare le linee guida sul Framework: infatti tale strumento nasce con l’intento di creare un linguaggio comune nella gestione della sicurezza cibernetica e consente, per la sua flessibilità, di adattarsi a diversi contesti e profili di applicazione, consentendo di integrare anche eventuali ulteriori normative nazionali e internazionali.

L’elaborazione degli indirizzi di sicurezza a beneficio degli OSE si pone in linea con il percorso intrapreso a livello europeo sul tema dell’innalzamento e dell’armonizzazione dei livelli di sicurezza cibernetica. Si pensi al ruolo di ENISA che ha assunto un ruolo di coordinamento sul tema, producendo, a seguito del Cybersecurity Act, anche riferimenti e supporti specifici sulla NIS, come ad esempio:

  • Mappatura dei requisiti di sicurezza degli OSE per specifici settori[4];
  • Definizione dei requisiti di sicurezza degli FSD[5];
  • Framework per audit e self assessment per OSE e FSD[6].

In particolare, il terzo documento ha l’obiettivo di fornire una base metodologica per condurre audit rispetto alla conformità alla NIS utilizzando anche standard internazionali sulla sicurezza cibernetica (es. ISO 27001, COBIT 5, ISA/IEC 62443) e approcci per l’analisi del rischio (es. CRAMM, MAGERIT, OCTAVE).

Monitoraggio dello stato di adeguamento alla direttiva NIS

Inoltre, ENISA ha sviluppato uno specifico strumento[7] che permette di avere contezza dello stato dell’arte circa le azioni intraprese in ottica di adeguamento alla Direttiva NIS con una vista trasversale a tutti i Paesi membri. A tal proposito, tra le informazioni che possono essere monitorate attraverso lo strumento sono:

  • Descrizione ed elenco degli CSIRT con mappa interattiva per ciascun Paese
  • Lista delle Autorità Competenti per settore, relativamente a ciascun Paese;
  • Elenco delle strategie nazionali NIS e di sicurezza cibernetica a livello di Sistema-Paese.

Quest’ultimo aspetto permette ad ogni Stato Membro di monitorare l’impianto normativo e strategico in tema di cybersecurity elencando inoltre le attività rilevanti poste in essere.

In conclusione, il processo di armonizzazione ed innalzamento dei livelli di sicurezza cibernetica si sta rafforzando in virtù delle disposizioni normative europee (GDPR, NIS, Cybersecurity Act) e delle relative declinazioni nelle strategie di sicurezza nazionali. Le linee guida italiane si pongono quindi come ulteriore elemento a presidio della continuità dell’erogazione di servizi essenziali che la NIS intende tutelare.

__________________________________________________________________

  1. Hanno partecipato all’elaborazione delle linee guida le Autorità Competenti identificate con il d.lgs. del 18 maggio 2018 n.65: i Ministeri dello sviluppo economico, delle infrastrutture e dei trasporti, dell’economia e delle finanze, della salute, dell’ambiente e della tutela del territorio e del mare, in collaborazione con Regioni e Province autonome di Trento e di Bolzano
  2. http://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/nis-al-via-le-linee-guida-su-gestione-rischio-e-notifica-incidenti.html
  3. Ibidem
  4. ENISA (2017), Mapping of OES Security Requirements to Specific Sectors
  5. ENISA (2016), Technical Guidelines for the implementation of minimum security measures for Digital Service Providers
  6. ENISA (2018) Guidelines on assessing DSP and OES compliance to the NISD security requirements Information Security Audit and Self – Assessment/ Management Frameworks
  7. https://www.enisa.europa.eu/topics/nis-directive/nis-visualtool

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati