Dopo il recepimento della direttiva NIS in Italia e in attesa della sua piena attuazione, è interessante vedere come si stanno comportando gli altri paesi europei.
La situazione nella Ue
In Francia lo status di implementazione è ben altra cosa rispetto all’Italia. La strategia nazionale è completata ed è disponibile online, il punto di contatto unico è già stato assegnato all’ANSSI, l’agenzia nazionale per la sicurezza dei sistemi di informazione la quale funge anche da autorità nazionale competente per i fornitori di servizi digitali. L’autorità per gli operatori di servizi essenziali non è ancora stata comunicata mentre lo CSIRT nazionale è il CERT-FR.
In Spagna la situazione è ancora migliore, vi è una strategia nazionale, un punto di contatto unico, addirittura due autorità competenti per i fornitori di servizi digitali, sia per il settore privato – in questo caso il segretario di Stato per la Società dell’Informazione e l’Agenda Digitale – che per il settore pubblico, incarnato dal Ministero della Presidenza e dell’Amministrazione Territoriale il quale opera attraverso il Centro Crittologico Nazionale. Per quanto riguarda l’autorità nazionale competente per gli operatori dei servizi essenziali, il ruolo è affidato al Segretario di Stato per la Sicurezza all’interno del Ministro dell’Interno, il quale opera attraverso il Centro Nazionale per la Protezione delle Infrastrutture e della Cybersecurity (CNPIC). Lo CSIRT nazionale spagnolo è diviso in due, per il pubblico con il CCN-CERT e per il privato con l’INCIBE-CERT.
In Portogallo la situazione è simile a quella francese. Vi è una strategia nazionale, c’è un punto di contatto unico che è il Centro per la Cybersecurity Nazionale Portoghese, il quale funge anche da autorità competente per i fornitori di servizi digitali e anche da autorità nazionale competente per gli operatori dei servizi essenziali. Lo CSIRT nazionale portoghese è il CERT.PT.
Status analogo per il Belgio, il quale possiede una strategia nazionale, e il Centro per la Cybersecurity belga riveste i ruoli di punto di contatto unico, che di autorità nazionale competente sia per i fornitori dei servizi digitali che per gli operatori dei servizi essenziali. Il CERT.be svolge ovviamente il ruolo di CSIRT.
Tra i paesi che hanno adottato un approccio “accentratore” vi è la Germania, la quale ha finito la trasposizione della NIS, ha una strategia nazionale e i ruoli di punto di contatto unico, autorità nazionale competente per i fornitori di servizi digitali, quella per gli operatori dei servizi essenziali, e lo CSIRT nazionale sono tutti svolti dall’Ufficio Federale per la Sicurezza delle Informazioni.
L’Irlanda possiede una strategia nazionale e lo CSIRT-IE riveste i ruoli di punto di contatto unico, da autorità nazionale competente per i fornitori di servizi digitali, da autorità nazionale competente per gli operatori dei servizi essenziali che, ovviamente, da CSIRT nazionale.
Il Regno Unito è l’unico paese che al momento può fregiarsi di avere ultimato la trasposizione della direttiva NIS e, probabilmente, nel modo più completo. C’è una strategia nazionale, il National Cyber Security Centre (NCSC) riveste il ruolo sia di punto di contatto unico che di CSIRT nazionale, l’Information Commissioner’s Office (ICO) funge da autorità nazionale competente per i fornitori di servizi digitali, mentre per quanto riguarda gli operatori dei servizi essenziali abbiamo divere autorità competenti in base al settore. Il Regno Unito ha un’autorità per tutti i servizi essenziali: energia, trasporti (diviso in aerei, terrestri gommati, terrestri ferrati, e marini), infrastruttura bancaria e finanziaria, sanità, fornitura e distribuzione di acqua potabile, e infrastruttura digitale. È interessante notare come oltre a questa suddivisione, le autorità competenti siano divise anche in zone geografiche (Inghilterra, Scozia, Galles e Irlanda del Nord) per la maggior parte dei settori. Una decisione del genere non può che tradursi in una migliore organizzazione ed efficienza per la cybersecurity britannica.
Nei Paesi Bassi la trasposizione della direttiva è in corso: Vi è una strategia nazionale, un punto di contatto unico, e diverse autorità per quanto riguarda gli operatori di servizi essenziali. Non hanno ancora designato un’autorità per il settore dei trasporti e non hanno ancora comunicato uno CSIRT nazionale.
La Danimarca ha parzialmente trasposto la direttiva ma si può ritenere a buon punto, dato che possiede una strategia nazionale, un punto di contatto unico incarnato nel Centro Danese per la Cybersecurity, un’autorità nazionale competente per i fornitori di servizi essenziali, ovvero la Danish Business Authority la quale ricopre anche il ruolo di CSIRT nazionale. Per quanto riguarda l’autorità nazionale competente per gli operatori di servizi essenziali, anche in questo caso i danesi hanno diverse autorità in base ai settori selezionati, ovvero energia, trasporti, infrastruttura bancaria e finanziaria, e sanità, manca quindi l’autorità per l’infrastruttura digitale.
Anche la Svezia non ha ancora terminato la trasposizione della NIS, è però dotata di una strategia nazionale, di un punto di contatto unico – ruolo ricoperto dall’equivalente svedese della Protezione Civile -, di un’autorità nazionale competente per i fornitori dei servizi digitali, ovvero l’Autorità per le Poste e le Telecomunicazioni, e di diverse autorità competenti per gli operatori di servizi essenziali. I settori attualmente coperti dalla Svezia sono: energia, trasporti, infrastruttura bancaria e finanziaria, sanità, e fornitura e distribuzione di acqua potabile. Lo CSIRT nazionale è l’MSB/CERT-SE.
La Finlandia ha ultimato la trasposizione della NIS. Ha una strategia nazionale, mentre il punto di contatto unico, l’autorità nazionale competente per i fornitori di servizi digitali e lo CSIRT nazionale sono tutti all’interno dell’Ente Regolatore per le Comunicazioni Finlandese. Per quanto riguarda le autorità competenti per gli operatori di servizi essenziali, anche la Finlandia ha già provveduto a dividere le autorità per tutti i settori previsti dalla direttiva.
La Slovenia ha trasposto la direttiva, ha una strategia nazionale, un punto di contatto unico all’interno dell’Ufficio Governativo per la Protezione delle Informazioni Riservate, e il CERT.SI riveste i ruoli di entrambe le autorità nazionali competenti che, ovviamente, di CSIRT.
La Lettonia sta ancora trasportando la NIS nella propria legislazione nazionale, ma anch’essa è molto avanti avendo strategia, punto di contatto unico nel Ministero della Difesa, autorità nazionale competente per i fornitori di servizi digitali nel Ministero dei Trasporti, e diverse autorità per quanto riguarda gli operatori dei servizi essenziali. In particolare, per quanto riguarda il settore energetico, la Lettonia ha designato tre diverse autorità competenti per elettricità, petrolio, e gas. Lo CSIRT nazionale è il CERT.LV.
Situazione molto simile per quanto riguarda la Croazia, dove la trasposizione della direttiva è segnalata come ancora in corso. Nonostante ciò, vi è una strategia nazionale, vi è un punto di contatto unico, ovvero l’Ufficio del Consiglio di Sicurezza Nazionale, vi è un’autorità nazionale competente per i fornitori di servizi digitali all’interno del Ministero dell’Economia, e diverse autorità per gli operatori dei servizi essenziali. In questo caso la Croazia ha diversi uffici per quanto riguarda il settore dei trasporti– divisi in aerei, marittimi, gommati, e ferrati –, e ha separato le autorità per l’infrastruttura bancaria e quella finanziaria. Anche lo CSIRT nazionale è sdoppiato, in quanto c’è il CERT nazionale che si occupa del settore bancario, dell’infrastruttura finanziaria, dell’infrastruttura digitale e dei fornitori dei servizi digitali, mentre l’Ufficio Sicurezza è il riferimento per energia, trasporti, sanità e fornitura e distribuzione di acqua potabile.
La Lituania ha parzialmente trasposto la direttiva, ha una bozza di strategia nazionale e il CERT.LT raccoglie tutte le funzioni richieste dalla NIS, quindi punto di contatto unico, la totalità delle autorità nazionali competenti sia per fornitori di servizi digitali che per gli operatori essenziali e, ovviamente, lo CSIRT nazionale.
La Slovacchia ha ultimato la trasposizione della direttiva, ha comunicato una strategia nazionale, un “cyber security concept of the slovak republic” e anche un “action plan for the implementation of the cyber security concept of the Slovak Republic 2015-2020”. Il punto di contatto unico è l’ente di sicurezza nazionale, che ricopre anche i ruoli di entrambe le autorità nazionali. Lo CSIRT nazionale è l’SK-CERT.
L’Ungheria ha trasposto parzialmente la direttiva, non avendo ancora adottato una strategia nazionale ma avendo un punto di contatto unico nel Centro di Cybersecurity Nazionale, che funge anche da CSIRT. L’autorità nazionale competente sia per i fornitori di servizi digitali che per gli operatori essenziali è la Direzione Generale Nazionale per la Gestione delle Catastrofi.
In Grecia la trasposizione della NIS è ancora in corso. La strategia nazionale è disponibile per consultazione online, il punto di contatto unico è l’Autorità Nazionale per la Cybersicurezza all’interno del Ministero delle Politiche Digitali, Telecomunicazioni e Media, il quale riveste anche i ruoli di entrambe le autorità nazionali. Lo CSIRT nazionale è il CERT greco, ovvero l’Autorità Nazionale per il Contrasto di Attacchi Elettronici.
A Cipro la NIS è stata trasposta completamente, nonostante i dettagli sulla strategia nazionale e sulle autorità nazionali competenti debbano ancora essere comunicati. Il punto di contatto unico è la Digital Security Authority (DSA) e lo CSIRT nazionale è lo CSIRT-CY.
In Polonia, in Bulgaria, in Romania, in Austria e a Malta la trasposizione della direttiva è in corso ma i dettagli devono ancora essere determinati.
L’Estonia e la Repubblica Ceca hanno trasposto la direttiva NIS ma i dettagli devono essere ancora comunicati.
Il Lussemburgo ha nominato unicamente il punto di contatto unico ovvero l’Institut Luxembourgeois de Régulation, il resto rimane da determinare.
Un elemento interessante che emerge da questa analisi, visibile in particolar modo dalla tabella qui riportata, è come vi sia una divisione tra stati accentratori e stati decentratori, ovvero tra quegli stati che hanno indicato un’autorità singola per coprire tutta la cybersecurity nazionale e quelli che invece hanno un’autorità specifica per ogni elemento indicato dalla NIS. Dato che gli stati europei hanno ancora tempo – fino al 9 novembre 2018- per trasportare totalmente la direttiva per quanto riguarda l’identificazione degli operatori dei servizi essenziali è ancora presto per trarre delle conclusioni sull’efficienza di tali misure.
| Status trasposizione | Strategia Nazionale | Punto di contatto unico | Autorità nazionale competente per i fornitori di servizi digitali | Autorità nazionale competente per gli operatori di servizi essenziali | CSIRT | ||||||
| Energia | Trasporti | Infrastruttura bancaria e finanziaria | Sanità | Fornitura e distribuzione acqua potabile | Infrastruttura digitale | ||||||
| Austria | In corso | Da determinare | Da determinare | Da determinare | Da determinare | Da determinare | |||||
| Belgio | In corso | Sì | Centro per la Cybersecurity in Belgio | Centro per la Cybersecurity in Belgio | Centro per la Cybersecurity in Belgio | CERT.be | |||||
| Bulgaria | In corso | Da determinare | Da determinare | Da determinare | Da determinare | Da determinare | |||||
| Croazia | In corso | Sì | l’Ufficio del Consiglio di Sicurezza Nazionale | Ministero dell’Economia | Ministero dell’ambiente e dell’energia | Ministero del Mare, dei Trasporti e delle Infrastrutture | Banca Nazionale Croata (settore bancario) / Agenzia di Supervisione per i Servizi Finanziari Croati (settore finanziario) | Ministero della Salute | Ministero dell’Ambiente e dell’Energia | Ufficio Centrale di Stato per lo Sviluppo della Società Digitale | CERT nazionale (per settore bancario, infrastruttura finanziaria, infrastruttura digitale e FSD); Ufficio sicurezza (per energia, trasporti, sanità e acqua potabile) |
| Cipro | Completa | Da comunicare | Digital Security Authority (DSA) | Da comunicare | Da comunicare | CSIRT-CY | |||||
| Danimarca | Parziale | Sì | Danish Centre for Cybersecurity (Centro Danese per la Cybersecurity) | Erhvervsstyrelsen (Ente Danese per l’Impresa e il Commercio) | Energistyrelsen (Ente Danese per l’Energia) | Trafik-, Bygge- og Boligstyrelsen (Ente Danese per i Trasporti, l’Impresa e l’Edilizia) | Finanstilsynet (Ente Danese per la Supervisione Finanziaria) | Sundhedsdatastyrelsen (Ente Danese per la Protezione dei Dati Relativi alla Sanità) | / | / | Danish Centre for Cybersecurity |
| Estonia | Completa | Da comunicare | Da comunicare | Da comunicare | Da comunicare | Da comunicare | |||||
| Finlandia | Completa | Sì | Viestintävirasto – Finnish Communications Regulatory Authority (FICORA) | Viestintävirasto -Finnish Communications Regulatory Authority (FICORA) | Energiavirasto (Ente Finlandese per l’Energia) | Liikenteen turvallisuusvirasto (Ente Finlandese per la Sicurezza dei Trasporti) | Finanssivalvonta (Ente Finlandese per la Supervisione Finanziaria) | Valvira (Ente Finlandese per la Supervisione della Sanità e del Welfare) | Elinkeino-, Liikenne ja Ympäristökeskus (Centro Finlandese per lo Sviluppo Economico, Trasporti e Ambiente) | Viestintävirasto – Finnish Communications Regulatory Authority (FICORA) | Viestintävirasto – Finnish Communications Regulatory Authority (FICORA) / National Cyber Security Centre Finland (NCSC-FI) |
| Francia | Parziale | Sì | Agence nationale de la sécurité des systèmes d’information (ANSSI) | Agence nationale de la sécurité des systèmes d’information (ANSSI) | Da comunicare | CERT-FR | |||||
| Germania | Completa | Sì | Ufficio Federale per la Sicurezza delle Informazioni / Bundesamt für Sicherheit in der Informationstechnik | Ufficio Federale per la Sicurezza delle Informazioni / Bundesamt für Sicherheit in der Informationstechnik | Ufficio Federale per la Sicurezza delle Informazioni / Bundesamt für Sicherheit in der Informationstechnik | Ufficio Federale per la Sicurezza delle Informazioni / Bundesamt für Sicherheit in der Informationstechnik | |||||
| Grecia | In corso | Sì | National Cyber Security Authority (General Secretariat of Digital Policy – Ministry of Digital Policy, Telecommunications and Media) | National Cyber Security Authority (General Secretariat of Digital Policy – Ministry of Digital Policy, Telecommunications and Media) | National Cyber Security Authority (General Secretariat of Digital Policy – Ministry of Digital Policy, Telecommunications and Media) | National Authority Against Electronic Attacks – National Cert | |||||
| Irlanda | In corso | Sì | CSIRT-IE | CSIRT-IE | CSIRT-IE | CSIRT-IE | |||||
| Italia | Completa | Da determinare (in fase di aggiornamento) | Dipartimento delle Informazioni per la Sicurezza (DIS) | Ministero dello Sviluppo Economico | Ministero dello Sviluppo Economico | Ministero delle Infrastrutture e dei Trasporti | Ministero dell’Economia e delle Finanze (Con Banca d’Italia e Consob) | Ministero della Salute + Regioni e Province Autonome di Trento e Bolzano | Ministero dell’Ambiente e della Tutela del Territorio e del Mare + Regioni e Province Autonome di Trento e Bolzano | Ministero dello Sviluppo Economico | CSIRT ITA (CERT-N + CERT-PA) |
| Lettonia | In corso | Sì | Ministero della Difesa | Ministero dei Trasporti | Ministero dell’Economia (diversi uffici per elettricità, petrolio, e gas) | Ministero dei Trasporti | Commissione per i mercati finanziari e dei capitali (Finanšu un kapitāla tirgus komisija) | Ministero della Salute | Ministero della Salute + Ministero dell’Agricoltura | Ministero dei Trasporti | CERT.LV |
| Lituania | Parziale | Bozza | CERT-LT | CERT-LT | CERT-LT | CERT-LT | |||||
| Lussemburgo | In corso | Da determinare | Institut Luxembourgeois de Régulation | Da determinare | Da determinare | Da determinare | |||||
| Malta | In corso | Da determinare | Da determinare | Da determinare | Da determinare | Da determinare | |||||
| Paesi Bassi | In corso | Sì | National Cyber Security Centre (NCSC) | Ministry of Economic Affairs and Climate Policy + Agentschap Telecom | Agentschap Telecom | / | De Nederlandsche Bank (DNB) | Inspectorate Healthcare and Youth | Ministry of Infrastructure and Water Management, Directorate-General Water and Soil | Agentschap Telecom | Da comunicare |
| Polonia | In corso | Da determinare | Da determinare | Da determinare | Da determinare | Da determinare | |||||
| Portogallo | In corso | Sì | Centro Nacional de Ciberseguaranca (Centro Nazionale di Cybersicurezza) | Centro Nacional de Ciberseguaranca | Centro Nacional de Ciberseguaranca | CERT.PT | |||||
| Regno Unito | Completa | Sì | National Cyber Security Centre (NCSC) | Information Commissioner’s Office (ICO) | Department for Business, Energy & Industrial Strategy, and the Office of Gas and Electricity Markets (England, Scotland, Wales), Department of Finance (Northern Ireland) | Trasporti Aerei: Civil Aviation Authority (CAA), and Department for Transport Ferrovie: Department for Transport (England, Wales, Scotland), The Department of Finance (Northern Ireland) Trasporti Marittimi: Department for Transport Trasporti Gommati: | Bank of England Sector Resilience Team | Department of Health (England), The Welsh Ministers (Wales), The Scottish Ministers (Scotland), Department of Finance (Northern Ireland) | Department for Environment, Food & Rural Affairs (England), The Welsh Ministers (Wales), The Drinking Water Quality Regulator for Scotland (Scotland), The Department of Finance (Northern Ireland) | Office of Communications (OFCOM) | National Cyber Security Centre (NCSC) |
| Repubblica Ceca | Completa | Da determinare | Da determinare | Da determinare | Da determinare | Da determinare | |||||
| Romania | In corso | Da determinare | Da determinare | Da determinare | Da determinare | Da determinare | |||||
| Slovacchia | Completa | Sì | Národný Bezpečnostný Úrad (Autorità di Sicurezza Centrale) | Národný Bezpečnostný Úrad (Autorità di Sicurezza Centrale) | Národný Bezpečnostný Úrad (Autorità di Sicurezza Centrale) | SK-CERT | |||||
| Slovenia | Completa | Sì | Urada Vlade RS za varovanje tajnih podatkov (Ufficio Governativo per la Protezione delle Informazioni Classificate) | SI-CERT | SI-CERT | SI-CERT | |||||
| Spagna | In corso | Sì | Consejo de Seguridad Nacional – Departamento de Seguridad Nacional (Consiglio di Sicurezza Nazionale – Dipartimento di Sicurezza Nazionale) | Secretaría de Estado para la Sociedad de la Información y la Agenda Digital (per il PRIVATO) Ministerio de la Presidencia y para las Administraciones Territoriales (per il PUBBLICO) | Secretaría de Estado de Seguridad – Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) | INCIBE-CERT (per il privato) / CCN-CERT (per il pubblico) | |||||
| Svezia | In corso | Sì | Myndigheten för samhällsskydd och beredskap – MSB (Protezione Civile) | Post- och telestyrelsen (Poste e Telecomunicazioni) | Energimyndigheten (Agenzia per l’Energia) | Transportstyrelsen (Agenzia per i Trasporti) | Finansinspektionen (Autorità di Supervisione Finanziaria) | Inspektionen för vård och omsorg (Ispettorato per la Sanità e l’Assistenza Sociale) | Livsmedelsverket (Istituto per la Sicurezza Alimentare) | / | CERT-SE |
| Ungheria | Parziale | Non ancora adottata | National Cyber Security Centre | National Directorate General for Disaster Management | National Directorate General for Disaster Management | National Cyber Security Centre | |||||
Un giudizio sull’Italia
Per quanto riguarda l’Italia, nonostante i ritardi nel recepimento, è opportuno considerare il lato positivo, ovvero che nonostante la situazione politica non favorevole, la NIS sia stata valutata come una priorità dal governo e nonostante la direttiva sia stata trasposta nell’ordinamento nazionale con qualche giorno di ritardo, i lavori per essere in pari con la direttiva stanno procedendo ottimamente.
Il Dipartimento Informazioni per la Sicurezza (DIS) è stato designato come punto di contatto unico, mentre il Ministero per lo Sviluppo Economico è l’autorità competente per i fornitori di servizi digitali. Per quanto riguarda le autorità competenti per gli operatori dei servizi essenziali l’Italia ha scelto un approccio decentralizzato, ovvero ha un’autorità per ogni settore coperto dal decreto di recepimento della NIS ovvero energia, trasporti, infrastruttura bancaria e finanziaria, sanità, fornitura e distribuzione di acqua potabile e infrastruttura digitale. Lo CSIRT nazionale nascerà dalla fusione del CERT-N e dal CERT-PA. L’unica cosa che manca al nostro Paese è in realtà una strategia nazionale conforme ai dettami comunitari in modo da affrontare efficacemente tutti i punti dell’art.7 della direttiva NIS. L’Italia però non è totalmente priva di una strategia nazionale, in quanto dispone del Quadro strategico nazionale per la sicurezza dello spazio cibernetico, il quale però è del 2013 e dovrà essere quindi aggiornato per rispettare la NIS.
