Energia Elettrica, Gas, Governo, Idrocarburi, In Primo Piano, Parlamento, Post in evidenza
Cybersecurity, la direttiva NIS a un passo dalla piena operatività
di Elisa Gazzara
Date e passaggi molto importanti per rendere la direttiva NIS Network and Information Security effettivamente implementabile. Sono quelli previsti a breve dal decreto legislativo n. 65 nel maggio 2018 che ha permesso in Italia il recepimento del ‘piano di azione’ europeo di cybersecurity.
Il primo di questi passaggi prevede la pubblicazione entro il 9 novembre dell’elenco degli operatori di servizi essenziali (ODS). Saranno le autorità competenti NIS (ovvero i Ministeri competenti, nel settore energia il Ministero dello Sviluppo Economico) ad identificare per ciascun settore e sottosettore gli operatori coinvolti.
I settori che ricadono nell’ambito della direttiva sono l’energia, i trasporti, il settore bancario, le infrastrutture dei mercati finanziari, il settore sanitario, la fornitura e distribuzione di acqua potabile, le infrastrutture digitali.
L’allegato 2 del decreto legislativo qualifica come operatori di servizi essenziali nel settore energetico quei soggetti pubblici o privati il cui operato è fondamentale per il mantenimento di attività sociali e/o “indispensabili”. I sottosettori sono invece così delineati:
ENERGIA ELETTRICA: le imprese elettriche che esercitano attività di fornitura, i gestori del sistema di distribuzione, i gestori del sistema di trasmissione
PETROLIO: i gestori di oleodotti e i gestori di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio
GAS: le imprese fornitrici, i gestori del sistema di distribuzione, i gestori del sistema di trasmissione, i gestori dell’impianto di stoccaggio, i gestori del sistema GNL, imprese di gas naturale, i gestori di impianti di raffinazione e trattamento di gas naturale
Un altro passaggio importante per conferire piena operatività alla normativa, è la pubblicazione, sempre entro il 9 novembre, del Decreto del Presidente del Consiglio dei Ministri che istituisce il CSIRT (Computer Security Incident Response Team) che assorbirà CERT nazionale e CERT PA (Computer Emergency Response Team rispettivamente per i privati e per la PA). Compito del CSIRT è definire le procedure per la prevenzione e la gestione degli incidenti informatici che le imprese dovranno adottare a proprie spese. Lo CSIRT italiano avrà compiti di natura tecnica nella prevenzione e risposta ad incidenti informatici svolti in cooperazione con gli altri CSIRT europei e sarà istituito presso la Presidenza del Consiglio dei Ministri.
Ultimo passo previsto, ma questa volta più di prospettiva, è l’adozione di una Strategia nazionale di sicurezza cibernetica da parte del Presidente del Consiglio dei Ministri. La strategia dovrà prevedere le misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, la definizione di un piano di valutazione dei rischi informatici e programmi di formazione e sensibilizzazione in materia di sicurezza informatica. Il Piano nazionale per la protezione cibernetica e la sicurezza informatica approvato nel 2017 non tiene infatti conto delle novità apportate dalla direttiva NIS.