F&N 116

SETTEMBRE 2023 FIELDBUS & NETWORKS 40 D a decenni i sistemi informatici sono diventati dei ‘pilastri’ della società e colonne portanti praticamente di ogni azienda o istituzione, è quindi naturale che la sicurezza informatica impatti sia il sistema macroeconomico, sia i singoli cittadini. La questione della sicurezza è diventata rilevante a livello comunitario quando, nel 2013, fu affrontata per la prima volta dalla Commissione Juncker; ha preso però davvero forma solo nell’estate del 2016 con la cosiddetta NIS - Network and Information Security, una Direttiva adottata dal Parlamento Eu- ropeo volta a uniformare le procedure in materia di sicurezza. Per vederla applicata nei singoli Paesi dell’Unione ci sono voluti altri 2 anni; l’Italia, per esempio, l’ha recepita con il Decreto Legislativo n.65 del 18 maggio 2018. Il DNA della Direttiva La Direttiva è nata con l’obiettivo di garantire uni- formità su tre aspetti fondamentali: prevenzione, rilevamento e mitigazione. Si tratta, in altre parole, della necessità di mettere in atto misure per ren- dere sicure le reti e i sistemi informatici e prevenire gli attacchi informatici; della capacità di indivi- duare tempestivamente gli stessi, minimizzandone l’impatto, e infine di ripristinare rapidamente i servizi erogati. Il tutto per giungere all’obiettivo di migliorare le capacità di sicurezza informatica a livello nazionale e internazionale e di aumentare la cooperazione tra gli Stati membri dell’Unione. Un approccio collettivo che richiede agli operatori di servizi essenziali (OSE) e ai fornitori di servizi di- gitali (FSD) dei principali settori di pubblica utilità, di prendere misure di sicurezza adeguate e propor- zionate e di informare le relative autorità nazionali competenti in caso di incidenti che hanno un im- patto significativo sulla continuità del servizio. La Direttiva indica come OSE gli enti pubblici o privati che forniscono “servizi essenziali al mante- nimento di attività sociali e/o economiche fonda- mentali, la cui fornitura o erogazione dipende dalla rete e dai sistemi informativi sui quali un incidente avrebbe effetti negativi rilevanti”. In conformità a questa definizione sono considerati come ‘essen- ziali’ gli operatori dell’energia (elettrica, petrolio e gas), dei trasporti, dell’assistenza sanitaria, dell’ambito bancario e finanziario, i fornitori e di- stributori di acqua potabile e le infrastrutture che offrono servizi digitali, di interscambio Internet e registrazione di domini di primo livello. La Direttiva lascia però spazio ai singoli governi di decidere se ampliare questa lista: l’Italia si è mantenuta con- forme a quanto promulgato dall’Unione Europea. Per quanto riguarda, invece, gli FSD, la Direttiva li definisce come “qualsiasi persona giuridica che fornisca un servizio digitale”, ovvero: motori di ricerca, servizi di cloud computing e piattaforme di commercio elettronico che forniscono servizi all’interno dell’UE, anche quando hanno sede al di fuori dei suoi confini, ma che propongono e operano al suo interno. Anche per questo tipo di organizzazioni i Governi hanno la facoltà di entrare più in dettaglio, modificando la lista NIS. Secondo questi criteri, nel complesso (e finora), sono state individuate in Italia circa 460 organizzazioni tenute a rispettare la normativa NIS; tuttavia, la lista completa non è stata resa pubblica per motivi di sicurezza nazionale. Autorità competenti e organi preposti Gli Stati membri dell’UE definiscono gli obiettivi strategici e le opportune procedure e normative, ma sono liberi di scegliere quelle che ritengono più adatte alla gestione dei rischi, purché assicurino un congruo livello di sicurezza e la conformità alla Direttiva. Devono anche designare le cosiddette ‘autorità competenti’, alle quali affidare il monito- raggio e l’applicazione della Direttiva e formare il Csirt (Computer security incident response team). Quest’ultimo, istituito presso la Presidenza del Consiglio dei Ministri, è chiamato ad assolvere, in cooperazione con gli altri Csirt europei, quei com- piti di natura tecnica legati alla prevenzione e alla risposta agli incidenti informatici, la maggior parte dei quali erano precedentemente di responsabilità del Cert Nazionale (operante presso il Ministero dello Sviluppo Economico) e del Cert-PA (operante presso l’Agenzia per l’Italia Digitale). L’organizzazione e il funzionamento del Csirt ita- liano sono stati disciplinati nel Dpcm 8 agosto 2019, dopo poco meno di un anno ha cominciato a operare e, contestualmente, il Cert e il Cert-PA hanno cessato di esistere. In sintesi, quando il Csirt riceve le notifiche di incidente da parte di OSE e FSD, definisce le procedure per gestire la problematica e fornisce supporto al soggetto in- teressato. Tra i suoi compiti figura anche quello di amministrare la piattaforma per la cooperazione Building blocks Fieldbus & Networks EUROPA UNITA NELLA SICUREZZA LA CYBERSECURITY È DIVENTATA UN’ESIGENZA SEMPRE PIÙ PREGNANTE, TANTO DA SUPERARE I CONFINI DI PAESI E ISTITUZIONI PER APPRODARE NELLE AULE DEL PARLAMENTO EUROPEO E DARE VITA ALLA DIRETTIVA NIS Silvia Beraudo Con la Direttiva NIS - Network and Information Security, il Parlamento Europeo ha perseguito l’obiettivo di uniformare le procedure in materia di sicurezza all’interno della UE Fonte: foto Shutterstock