Servizi essenziali ed infrastrutture, cosa cambia con la Direttiva NIS


Fonte: ASKANEWS - 9 giugno 2017

Parla Lazzini, responsabile Security Governance e Privacy Sogei


 
 

"La recente pubblicazione in Gazzetta Ufficiale del Dpcm del 17 Febbraio 2017, ovvero della "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali", rappresenta il primo passo formale del Governo verso l'attuazione della Direttiva Nis. Una decisione importante, che avvia di fatto il complesso processo di recepimento della Direttiva stessa a livello nazionale, con particolari riferimento all'adozione di una strategia nazionale completa e di una Autorità Nazionale con pieni poteri di coordinamento preventivo e reattivo rispetto alla minaccia cibernetica".

È quanto si legge in un'analisi di Fabio Lazzini, responsabile Security Governance e Privacy di Sogei."Il Governo, attraverso tale Decreto", prosegue l'articolo, "intende fornire inoltre una risposta concreta allo scenario descritto dalla Relazione annuale sulla Politica dell'Informazione per la Sicurezza, pubblicata dal Dis lo scorso febbraio.

In questa ultima edizione, la relazione fornisce un intero allegato relativo agli aspetti di cyber security, aggiornando puntualmente la nazione sullo stato dellaminaccia cibernetica e sulle sue potenziali evoluzioni. La Relazione evidenzia un
notevole divario tra le minacce contro i soggetti pubblici, che costituiscono la maggioranza con 71% degli attacchi registrati, rispetto a quelli riferiti a soggetti privati, che rappresentano circa il 27% del totale. Uno spaccato che conferma,
anche per il nostro Paese, come gli Enti e le Pubbliche Amministrazioni rappresentino di fatto il target primario da parte di hacktivisti ed altri attori ostili".

Per Lazzini, "vale la pena ricordare che l'Europa, attraverso la Direttiva Nis, hafortemente richiamato l'attenzione degli Stati membri sulla necessità di intervenirein maniera coordinata, uniforme ed incisiva per contrastare la minaccia cyber ed
innalzare il livello di difesa dello spazio cibernetico nazionale e comunitario. Dal punto di vista della PA e, in generale delle infrastrutture critiche, la Direttiva rappresenta un passo in avanti epocale, non solo nell'intenzione di ridurre il
profilo di rischio complessivo, ma soprattutto come opportunità per accelerare ed agevolare il processo di digitalizzazione in atto, aumentando il livello di fiducia e confidenza dei cittadini nell'utilizzo del digitale".

In particolare, si pone in evidenza, "alcuni elementi della Direttiva, sebbene dovranno essere correttamente recepiti dal legislatore, forniscono principi ed obblighi di assoluta rilevanza, che probabilmente cambieranno, in positivo e
definitivamente, il ruolo della cyber security nello sviluppo dei servizi digitali. Costituisce ad esempio una novità assoluta l'obbligo, a livello nazionale, di censire e pubblicare l'elenco degli operatori di servizi essenziali (Art. 5); tale obbligo non è
da intendersi come una generica attribuzione ad un settore critico, bensì come una identificazione puntuale del soggetto giuridico che opera in qualità di fornitore critico per la nazione. Ciò dovrebbe garantire trasparenza ed accountability diretta
da parte di coloro a cui sarà formalmente attribuita una rilevanza strategica delle proprie infrastrutture digitali per il sistema Paese e per questo saranno obbligati ad attuare un insieme di misure di sicurezza appropriate. Ed è proprio sulle misure di sicurezza, siano esse di carattere tecnico o organizzativo, che la Direttiva introduce un altro cambiamento di paradigma importante rispetto al passato. Tali misure dovranno essere infatti adeguate e proporzionali alla gestione dei rischi.

Sebbene possa apparire scontato per chi si occupa di sicurezza ragionare intermini di rischio, è la prima volta che il legislatore attribuisce un peso specifico erilevante ad un processo di valutazione dei rischi, quale elemento fondamentale
per stabilire l'adeguatezza di una misura di sicurezza, rispetto all'impatto che una mancata adozione della stessa potrebbe causare a livello di singolo operatore e quindi di Paese. L'introduzione di un simile cambiamento è reso ancora più
rilevante se combinato con quanto previsto dall'Art. 15; ovvero le autorità competenti dovranno infatti essere dotate dei poteri e soprattutto dei mezzi necessari per valutare l'effettiva conformità degli operatori agli obblighi di attuazione delle misure di sicurezza e, pertanto, indirettamente anche della correttezza del processo di valutazione del rischio, che ha portato alla definizione delle stesse contromisure".

In questo senso, rileva ancora l'esperto, "auspichiamo che, dinanzi ad un preciso obbligo di attuazione delle misure di sicurezza, nonché di controllo da parte delle Autorità, gli investimenti in cyber security diventino effettivamente adeguati e
proporzionati ai rischi esistenti e che in nessun caso, trattandosi di operatori essenziali, possano essere ridimensionati da logiche di mercato o di business, non coerenti con la sicurezza dei servizi vitali per la nazione, nonché per la
crescita dei servizi digitali". Nell'introdurre tali principi, spiega ancora l'analisi, "la Direttiva intende inoltre contribuire al raggiungimento di un livello comune di sicurezza, riducendo le frammentazioni esistenti tra uno Stato e l'altro, che si traducono poi concretamente in un rischio complessivo per le infrastrutture digitali, già fortemente dipendenti le une dalle altre. In questo senso la sfida più importante che le istituzioni e le autorità nazionali dovranno affrontare nel recepire la Direttiva, consiste proprio nella definizione di un insieme di misure di sicurezza standard.

Questo è in partel'obiettivo che si prefiggono di raggiungere le "Misure minime di sicurezza informatica" elaborate da AgID", recentemente pubblicate in Gazzetta Ufficiale erese pertanto obbligatorie nell'adozione da parte della PA entro dicembre di questoanno. Seguendo lo spirito della Direttiva NIS, ciò potrebbe tuttavia non essere sufficiente a garantire un livello di sicurezza effettivamente comune e soprattuttoadeguato ai rischi degli operatori essenziali. Concretamente un insieme di pratiche ecapacità di difesa nazionale, definite ad esempio attraverso la cooperazione tra gliEnti e le Amministrazioni più virtuose nell'ambito della cyber security, potrebbe costituire la base per lo sviluppo di un insieme pragmatico di modelli, soluzioni e metodologie standard e di facile adozione da parte di tutti gli operatori essenziali.

Ciò", conclude Lazzini,"favorirebbe certamente il raggiungimento di livelli di sicurezza comuni, volti non soloa soddisfare la Direttiva, ma a garantire la continua crescita dei servizi digitali nelnostro Paese".

(Fonte: Cyber Affairs)