1 42 Table of Contents 44 52

F&N 116

SETTEMBRE 2023 FIELDBUS & NETWORKS 41 Fieldbus & Networks sulle problematiche di sicurezza informatica costi- tuita all’interno della rete dei Csirt europei. Le autorità competenti sono decise dai singoli Paesi su base settoriale o regionale: l’Italia ha scelto di designare i Ministeri di Sviluppo Econo- mico, Infrastrutture e Trasporti, Economia, Salute e Ambiente, ciascuno responsabile per più ambiti nelle proprie aree di competenza. Il loro ruolo è di operare come punti di assistenza ed esperienza, ma hanno anche il compito di indirizzare le orga- nizzazioni fornendo le informazioni necessarie per una gestione efficace dell’incidente e di sviluppare e condividere best practice. Infine, la Direttiva definisce il ruolo del DIS - Di- partimento delle Informazioni per la Sicurezza, come contatto unico con l’Unione Europea e co- ordinatore con le autorità competenti degli altri Stati membri. È l’organo di cui si avvalgono il Presidente del Consiglio dei Ministri e le auto- rità competenti per l’esercizio delle loro funzioni e per assicurare unitarietà nella programmazione della ricerca informativa, nell’analisi e nelle at- tività operative di Aise (Agenzia informazioni e sicurezza esterna) e Aisi (Agenzia informazioni e sicurezza interna). Questo modello organizzativo è parzialmente decentrato, a metà tra quello cen- tralista francese, che si basa su un’unica autorità competente, e quello decentrato dei Paesi nor- dici, dove i compiti normativi e di vigilanza sono attribuiti a diverse agenzie pubbliche responsa- bili per specifici settori. Obblighi per OES e FSD La Direttiva stabilisce che le “misure di gestione del rischio sono tutte quelle azioni volte a individuare eventuali rischi di incidenti per prevenire, rilevare e affrontare imprevisti, attenuandone l’impatto”. E si riferisce alla conservazione, trasmissione e trat- tamento dei dati quando parla di “sicurezza della rete e dei sistemi informativi”. Per un OES questo significa puntare sulla prevenzione di incidenti che violino la sicurezza delle proprie reti informatiche, adottando misure tecniche capaci di gestire i rischi, e designare un responsabile della sicurezza delle informazioni in modo da contenere i danni e garan- tire la continuità dei servizi. Eventuali attacchi o danni dovranno essere noti- ficati alle autorità competenti, o al Csirt, entro 24 ore dagli stessi, poi, entro 72 ore, si dovrà inviare un report dettagliato di quanto avvenuto. Per quanto riguarda gli FSD, la Direttiva stabilisce che gli obblighi di sicurezza siano meno elevati rispetto agli operatori dei servizi essenziali. Devono co- munque adottare misure tecniche e organizzative adeguate e proporzionate al rischio, tenendo conto della sicurezza di sistemi e impianti, della gestione degli incidenti e della continuità operativa, del monitoraggio e della conformità delle norme inter- nazionali. La soglia di segnalazione degli incidenti per i FSD è definita dal Regolamento di Attuazione della Commissione Europea, che stabilisce i para- metri da prendere in considerazione per definire un ‘impatto rilevante’: indisponibilità del servizio per più di 5 milioni di utenti nell’Unione; perdita di riservatezza, integrità, disponibilità o autenticità di dati per più di 100.000 utenti; possibilità che il danno materiale di almeno un consumatore superi un milione di euro. Sanzioni La Direttiva NIS lascia agli Stati membri un mar- gine di discrezionalità riguardo al tipo e alla natura delle sanzioni applicabili a condizione che siano effettive, proporzionate e dissuasive (come san- cito nell’art.21 della Direttiva NIS). Nell’esercitare tale opzione il governo ha ritenuto di stabilire che le autorità competenti potranno applicare sanzioni amministrative fino a 150.000 euro in caso di vio- lazione agli obblighi previsti dalla NIS da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali. Sicurezza delle informazioni e ISO Le disposizioni della Direttiva NIS non si limitano alla sicurezza informatica, ma si estendono anche ad altri tipi di incidenti che hanno un impatto sulla sicurezza delle reti e dei sistemi informativi, come gli eventi fisici e i disastri naturali. Per essere pronti a qualsiasi tipologia di incidente e rispettare le disposizioni della Direttiva è oppor- tuno aderire a specifici standard: − ISO27002, tratta i rischi per la sicurezza delle informazioni in tutte le forme e in maniera ben strutturata; − ISO27001, verifica i requisiti per la gestione della sicurezza di tutto il patrimonio aziendale delle informazioni; − ISO27035, traccia una linea guida per l’imple- mentazione di procedure e controlli per la cre- azione di un approccio strutturato a fronte di un incidente informatico; − ISO22301, valuta che il sistema di gestione della continuità operativa (Bcms) fornisca una struttura di risposta ben definita, assicurando che, al verificarsi di un incidente, vi siano azioni tempestive e che le persone giuste reagiscano efficacemente. Conformandosi a questi standard è possibile svi- luppare una struttura documentata di resilienza informatica e una capacità completa di risposta agli incidenti che protegga reti e sistemi dalla maggior parte delle minacce, favorisca il recu- pero e faciliti il raggiungimento di un obiettivo chiave della strategia informatica della UE, quello della reputazione internazionale di resi- lienza informatica. La Direttiva NIS 2 La tecnologia è in continua evoluzione, per cui anche la gestione della sicurezza lo deve essere: ecco perché è stata sviluppata la NIS 2, che segna un altro importante passo verso la piena defini- zione della strategia cyber dell’Unione Europea. Ha un duplice scopo: da un lato vuole aumentare la resilienza di operatori e fornitori, dall’altro, raf- forza la cybersecurity a livello comunitario. Entrata in vigore nel luglio 2020, si basa sui me- desimi pilastri della NIS, ma si applica anche alle organizzazioni che non rientrano nell’ambito della precedente Direttiva, ovvero i soggetti che operano in altri settori critici, per esempio i so- cial media, i servizi postali, l’alimentare, lo spazio. Sono però esclusi i settori della difesa, della pub- blica sicurezza e della giustizia. Prevede inoltre la creazione di una rete europea, la EU-Cyclone, che raggruppa le diverse organiz- zazioni nazionali che si occupano della gestione delle crisi informatiche, in modo da assicurare una risposta coordinata in caso di cyber-attacchi su larga scala e la creazione di un database con- diviso di tutte le vulnerabilità informatiche note, gestito dall’Enisa - Agenzia europea per la cyber security. La NIS 2 rappresenta dunque un ulteriore passo avanti nella creazione di un quadro europeo più forte per la cybersecurity. La Direttiva NIS si riferisce alla conservazione, trasmissione e trattamento dei dati quando parla di sicurezza della rete e dei sistemi informativi Fonte: foto Shutterstock

RkJQdWJsaXNoZXIy Mzg4NjYz