Nell’ambito della Direttiva NIS e del d.lgs. del 18 maggio 2018 n.65, l’Italia si è dotata di un ulteriore strumento per la gestione della cyber security nazionale che va a rendere più completo il quadro dell’architettura delineata dalle strategie nazionali: le linee guida sulla gestione dei rischi e la prevenzione, mitigazione e notifica degli incidenti.
Lo scopo è di fornire indicazioni di carattere tecnico, organizzativo e procedurale per l’innalzamento dei livelli di sicurezza cibernetica di reti e sistemi, garantendo altresì la resilienza del Sistema-Paese.
Elaborate dalle Autorità Competenti[1], con il coordinamento del Dipartimento delle Informazione per la Sicurezza (DIS), le linee guida hanno impatti rilevanti sulla continuità e sulla fornitura di servizi essenziali[2] e saranno condivise nel mese di luglio 2019 con i 465 operatori di servizi essenziali (OSE) individuati a dicembre 2018 per i settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanità, fornitura e distribuzione di acqua potabile.
Una volta condivise le linee guida, gli OSE avranno tra i quattro e i dodici mesi per recepire e uniformarsi ai requisiti specificati nelle stesse. Le Autorità competenti avranno la possibilità di valutare la conformità dei relativi OSE a quanto stabilito e quindi coordinare e gestire gli adempimenti per garantire la messa a sistema di tutte le attività previste dalla NIS.
Gli indirizzi delle linee guida
Gli indirizzi individuati nelle linee guida sono basati sul Framework Nazionale per la Cyber Security[3], documento che nella sua versione 2.0 pubblicata a febbraio 2019 recepisce tra le informative reference (linee guida, standard e normative) relative a ciascuna Subcategory anche le nuove disposizioni emanate a livello europeo, tra cui il GDPR e, appunto, la NIS.
È opportuno sottolineare la scelta di basare le linee guida sul Framework: infatti tale strumento nasce con l’intento di creare un linguaggio comune nella gestione della sicurezza cibernetica e consente, per la sua flessibilità, di adattarsi a diversi contesti e profili di applicazione, consentendo di integrare anche eventuali ulteriori normative nazionali e internazionali.
L’elaborazione degli indirizzi di sicurezza a beneficio degli OSE si pone in linea con il percorso intrapreso a livello europeo sul tema dell’innalzamento e dell’armonizzazione dei livelli di sicurezza cibernetica. Si pensi al ruolo di ENISA che ha assunto un ruolo di coordinamento sul tema, producendo, a seguito del Cybersecurity Act, anche riferimenti e supporti specifici sulla NIS, come ad esempio:
- Mappatura dei requisiti di sicurezza degli OSE per specifici settori[4];
- Definizione dei requisiti di sicurezza degli FSD[5];
- Framework per audit e self assessment per OSE e FSD[6].
In particolare, il terzo documento ha l’obiettivo di fornire una base metodologica per condurre audit rispetto alla conformità alla NIS utilizzando anche standard internazionali sulla sicurezza cibernetica (es. ISO 27001, COBIT 5, ISA/IEC 62443) e approcci per l’analisi del rischio (es. CRAMM, MAGERIT, OCTAVE).
Monitoraggio dello stato di adeguamento alla direttiva NIS
Inoltre, ENISA ha sviluppato uno specifico strumento[7] che permette di avere contezza dello stato dell’arte circa le azioni intraprese in ottica di adeguamento alla Direttiva NIS con una vista trasversale a tutti i Paesi membri. A tal proposito, tra le informazioni che possono essere monitorate attraverso lo strumento sono:
- Descrizione ed elenco degli CSIRT con mappa interattiva per ciascun Paese
- Lista delle Autorità Competenti per settore, relativamente a ciascun Paese;
- Elenco delle strategie nazionali NIS e di sicurezza cibernetica a livello di Sistema-Paese.
Quest’ultimo aspetto permette ad ogni Stato Membro di monitorare l’impianto normativo e strategico in tema di cybersecurity elencando inoltre le attività rilevanti poste in essere.
In conclusione, il processo di armonizzazione ed innalzamento dei livelli di sicurezza cibernetica si sta rafforzando in virtù delle disposizioni normative europee (GDPR, NIS, Cybersecurity Act) e delle relative declinazioni nelle strategie di sicurezza nazionali. Le linee guida italiane si pongono quindi come ulteriore elemento a presidio della continuità dell’erogazione di servizi essenziali che la NIS intende tutelare.
__________________________________________________________________
- Hanno partecipato all’elaborazione delle linee guida le Autorità Competenti identificate con il d.lgs. del 18 maggio 2018 n.65: i Ministeri dello sviluppo economico, delle infrastrutture e dei trasporti, dell’economia e delle finanze, della salute, dell’ambiente e della tutela del territorio e del mare, in collaborazione con Regioni e Province autonome di Trento e di Bolzano ↑
- http://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/nis-al-via-le-linee-guida-su-gestione-rischio-e-notifica-incidenti.html ↑
- Ibidem ↑
- ENISA (2017), Mapping of OES Security Requirements to Specific Sectors ↑
- ENISA (2016), Technical Guidelines for the implementation of minimum security measures for Digital Service Providers ↑
- ENISA (2018) Guidelines on assessing DSP and OES compliance to the NISD security requirements Information Security Audit and Self – Assessment/ Management Frameworks ↑
- https://www.enisa.europa.eu/topics/nis-directive/nis-visualtool ↑
