Contro il Cyber-Rischio: l’Europa lancia il “Network and Information Security”
Il 24 giugno 2018 dovrebbe essere ricordata come data altrettanto importante quanto quella del 27 maggio, quando entrò in vigore il tanto discusso GDPR. Infatti il 24 giugno è stato il giorno del “go live” per il decreto per attuare la normativa europea “Network and Information Security” (NIS) che per la prima volta a livello di Unione Europea definisce il quadro strategico ed operativo sul tema della cyber security, con l’obiettivo di rafforzare il livello comune di sicurezza dei Paesi membri.
COS’E’ LA DIRETTIVA “NIS” E COSA INCLUDE
La direttiva NIS è stata adottata nel 2016 e, come direttiva, stabilisce obiettivi e politiche che devono essere raggiunti attraverso una legislazione a livello di Stati membri dell’UE entro un certo periodo di tempo (un processo chiamato “trasposizione”). Gli Stati membri dovevano recepire la direttiva NIS nella legislazione nazionale entro il 9 maggio 2018.
Dato che è la prima legge dell’UE specificamente incentrata sulla sicurezza informatica, la direttiva NIS ha tre parti, che riguardano sia il governo industriale sia i governi degli Stati membri.
- Requisiti per le organizzazioni: la direttiva stabilisce i requisiti di sicurezza e di notifica degli incidenti per “operatori di servizi essenziali” (OES) (fornitori di energia, trasporti, sanità, acqua potabile, alcuni servizi finanziari) e, in misura meno rigorosa, ” fornitori di servizi digitali”(DSP) (marketplace online, motori di ricerca online e fornitori di servizi cloud). La direttiva NIS richiede a queste società “di tenere conto delle tecnologie all’avanguardia” per gestire i rischi posti alla sicurezza delle reti e dei sistemi informativi utilizzati per fornire i servizi coperti e adottare misure appropriate per prevenire e ridurre al minimo l’impatto degli incidenti. Gli incidenti di sicurezza di determinate grandezze devono essere segnalati alle autorità nazionali competenti. Gli obblighi di cui sopra si applicano se OES o DSP gestiscono la propria rete e i propri sistemi di informazione o li esternalizzano.
- Attività nazionali: la direttiva impone agli stati membri di adottare strategie nazionali di sicurezza informatica; designare le autorità nazionali competenti; e di avere uno o più team di reazione agli incidenti di sicurezza informatica (CSIRT), corrispondenti almeno ai settori coperti dalla direttiva, per rilevare, prevenire e rispondere a incidenti e rischi informatici.
- Cooperazione a livello di UE: la direttiva sottolinea il coordinamento tra gli Stati membri, creando una rete di team CSIRT (anche per includere CERT-UE) per promuovere una cooperazione operativa rapida ed efficace in materia di minacce e incidenti e un “gruppo di cooperazione” strategico NIS per sostenere e facilitare cooperazione e scambio di informazioni tra Stati membri.
L’EUROPA HA SCOPERTO IL PERICOLO DEL CYBER RISCHIO
I tecnici di Bruxelles hanno lavorato intensamente per realizzare il NIS. Molti paesi hanno aggiornato o rilasciato, per la prima volta, le loro strategie nazionali di sicurezza informatica. I CSIRT sono stati istituiti e la legislazione è stata preparata per recepire i NIS. La Commissione europea ha fornito orientamenti ai paesi sull’attuazione effettiva dei NIS. L’ENISA, l’Agenzia dell’UE per la sicurezza delle reti e dell’informazione, ha anche emesso una serie di orientamenti, tra cui raccomandazioni sull’uso e la gestione dei CSIRT e raccomandazioni relative alle misure di sicurezza e di notifica degli incidenti per i DSP. Il gruppo di cooperazione NIS (composto da rappresentanti degli Stati membri, della Commissione e dell’ENISA) si riunisce regolarmente per coordinare gli sforzi tra i paesi dell’UE, compresa la condivisione di informazioni su come implementare i NIS nel modo più coerente possibile. Gli Stati membri dell’UE che hanno detenuto la presidenza dell’UE da quando è stato adottato il framework NIS (Slovacchia, Malta, Estonia, e ora Bulgaria) hanno tutti reso l’attuazione dei NIS una priorità.
L’attenzione alla sicurezza informatica è aumentata rapidamente in seguito all’attacco del ransomware WannaCry del maggio 2017. Nel settembre 2017, il presidente dell’UE Jean-Paul Juncker ha reso la cyber security uno dei temi principali – per la prima volta in assoluto – per l’UE, sottolineando la necessità di proteggere meglio gli europei nell’era digitale. Lo stesso mese, la Commissione europea ha emesso un pacchetto di leggi sulla sicurezza informatica e altre proposte. Ciò includeva una nuova strategia dell’UE in materia di sicurezza informatica , “Resilienza, dissuasione e difesa: costruire una forte cyber security per l’UE”, con particolare attenzione alla protezione e alla prevenzione degli attacchi informatici. Inoltre, la Commissione ha annunciato l’intenzione di istituire una “rete di competenza sulla cyber security” e un “Centro europeo di ricerca e competenza sulla cyber security ” e una raccomandazione per stabilire una ” risposta coordinata a livello UE a crisi e incidenti di cyber security su larga scala “.
Tutti questi sforzi dell’UE sono essenziali ed includono piani e attività importanti: aumentare l’istruzione e la formazione legate alla cyber security, intensificare le attività di applicazione della legge e accelerare la condivisione di informazioni sul cyber rischio, per citarne alcuni – anche per completare una serie di azioni intraprese dagli Stati membri individualmente.
Il punto di riferimento unico in Italia è il Dipartimento Informazioni per la Sicurezza (DIS), cui compete assicurare a livello nazionale il coordinamento delle questioni relative alla sicurezza delle reti e dei sistemi informativi e, a livello europeo, il raccordo con il Gruppo di cooperazione (istituito presso la Commissione Europea) e la rete dei CSIRT.
PCA: L’AGGIORNAMENTO CONTINUO PER NUOVI SERVIZI
La cyber security è un tema strategico e di innovazione, ma al tempo stesso è già un rischio quotidiano. Perciò rappresenta uno dei numerosi temi di aggiornamento continuo su cui lavorano i nostri think-tank. La fidelizzazione dei nostri clienti deriva proprio dal rapporto di stima e fiducia che si instaura grazie al nostro continuo aggiornamento, insieme all’approccio pionieristico nel collegare ricerca e proposte ad hoc per ogni cliente. Questo ci permette di essere quotidianamente impegnati a ricercare soluzioni che garantiscano ai nostri Clienti un supporto a 360 gradi sfruttando la nostra ricerca continua.