Cybersecurity, cosa cambierà dopo il recepimento della direttiva Nis

Sono tre le principali linee guida previste dalla cosiddetta direttiva Nis (acronimo di “Network and Information Security”), la direttiva europea numero 1148 del 2016 in materia di cybersecurity. Il provvedimento, per il recepimento del quale è stato recentemente approvato lo schema di decreto legislativo da parte del Consiglio dei Ministri, rappresenta la più importante delle misure messe in campodall’Unione per affrontare i nuovi rischi legati alla diffusione sempre maggiore dei crimini digitali.

La direttiva Nis mira a garantire una maggiore sicurezza sul web, secondo uno schema ben preciso. Innanzitutto ogni Stato membro è tenuto a dotarsi di un apparato preposto a controllare la sicurezza online in grado di definire gli obiettivi strategici, le politiche di indirizzo e le misure di regolamentazione. Esiste poi un vero e proprio obbligo per tutti i Paesi membri di collaborazione e cooperazione nella comune lotta al cybercrimine. In ultimo saranno segnalati – da ogni singolo Paese in maniera autonoma – gli attori non statali che operano nel mondo del digitale (aziende pubbliche o private divise tra operatori di servizi essenziali e fornitori di servizi digitali) a cui sarà richiesto di aumentare le proprie misure di sicurezza in rete.

Tutti queste previsioni si pongono l’obiettivo di rivoluzionare l’assetto finora esistente in tema di cybersecurity nei vari Stati membri dell’Unione e, soprattutto, di assicurare più coordinamento nella lotta ai crimini informatici. Che, come noto, sono in vertiginoso aumento: basti pensare da questo punto di vista che nell’ultimo anno, secondo il rapporto Clusit, sono stati ben 1127 gli attacchi avvenuti in rete che possano definirsi di grave entità. Una cifra superiore del 7,33% rispetto all’anno precedente. Le Istituzioni europee hanno quindi deciso di correre ai ripari stilando un univoco insieme di regole sulla sicurezza informatica valido per tutti i Paesi membri dell’Unione.

IL CSIRT

Per quanto riguarda il piano che ogni Paese dovrà singolarmente attuare, fondamentale sarà la creazione di uno o più CSIRT (acronimo di “Computer Security Incident Response Team”). Questi gruppi di lavoro saranno incaricati di monitorare gli attacchi a livello nazionale e di fornirne dettagli sulla portata e i rischi in una costante comunicazione con i CSIRT degli altri stati membri.

L’ORGANO DI COOPERAZIONE

A essi sarà affiancato un organo comune e generale con il compito di facilitare il dialogo e i rapporti tra i diversi Paesi. Dell’assetto cooperativo faranno parte i rappresentanti dei singoli Stati membri, della Commissione europea e dell’Agenzia europea per la sicurezza delle reti e dell’informazione, l’Enisa (acronimo di “European Union for Network and Information Security Agency“). Il gruppo di cooperazione si occuperà di diffondere un vademecum a cui i soggetti interessati dovranno attenersi.

I SOGGETTI NON STATALI

Agli operatori di servizi essenziali e ai fornitori di servizi digitali sarà chiesto di dotarsi di misure di sicurezza appropriate per la prevenzione degli attacchi e la gestione della crisi. E soprattutto sarà loro compito informare – in caso di attacco – il CSIRT. A stabilire chi sono gli attori interessati da questa manovra e quali sono le misure di sicurezza adeguate di cui dovranno dotarsi, ci penseranno le autorità competenti Nis di ogni Stato membro.

LA SITUAZIONE IN ITALIA

I compiti del CSIRT italiano saranno disciplinati da un decreto del Presidente del Consiglio. Il Computer Security Incident Response Team andrà a sostituire gli attuali CERT Nazionale (istituito presso il ministero dello Sviluppo economico) e CERT-PA (dell’Agenzia per l’Italia Digitale) fondendoli in un solo soggetto.
Nel nostro Paese le autorità competenti Nis saranno inoltre i ministeri dello Sviluppo economico, delle Infrastrutture e dei Trasporti, dell’Economia, della Salute e dell’Ambiente: ciascuno di essi avrà competenze in una o più materie. La direttiva avrebbe consentito a ogni Stato membro di aumentare i temi su cui applicare le disposizioni, ma il governo italiano ha preferito fermarsi ad un’attuazione cosiddetta “soft” e limitarsi alle competenze base. Discrezionalità era concessa ai singoli Paesi anche per ciò che concerne il regime sanzionatorio. Nell’ordinamento italiano è stabilito che le autorità Nis potranno applicare sanzioni amministrative fino a 150.000 euro in caso di violazione degli obblighi previsti dal decreto attuativo da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali.

Classe 1991, calabrese. Ha conseguito un Master in giornalismo politico, economico e di informazione multimediale alla Business School del Sole24Ore. Impegnata in politica, ha ricoperto il ruolo di coordinatrice nazionale dei giovani CD. Collabora con diverse testate giornalistiche online occupandosi di politica e anche di musica. Da dicembre 2017 nell’Ufficio stampa di I-Com.